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前 兰 


当今 时 代 是 信息 的 时 代 , 信 息 成 为 社会 发 展 的 重要 战略 资源 。 信息 的 安全 交换 .存储 和 保 
障 能 力 成 为 综合 国力 和 经 济 竞争 力 的 重要 组 成 部 分 。 我 国政 府 把 信息 安全 技术 与 产业 
列 为 今后 一 段 时 期 的 优先 发 展 领域 。 

信息 安全 教育 在 我 国 高 等 教育 中 正在 逐步 展开 。 教 育 部 继 2001 年 批准 在 武汉 大 
学 开设 信息 安全 本 科 专 业 之 后 ,又 先后 批准 了 几 十 所 高 等 院 校 设立 信息 安全 本 科 专 业 ， 
而 且 许 多 高 校 和 科研 院 所 已 设立 了 信息 安全 方向 的 具有 硕士 和 博士 学 位 授予 权 的 学 科 
点 。 另 外 ,教育 部 2005 年 7 号 文件 出 台 了 ”关于 进一步 加 强 信息 安全 学 科 .专业 建设 和 
人 才 培 养 工 作 的 意见 ”, 并 将 建立 国家 网 络 信息 安全 保障 体系 确定 为 国家 发 展 的 基本 战 
略 目标 之 一 。 

目前 有 关 信 息 安全 的 书籍 很 多 ,其 中 不 乏 精 品 。 然 而 ,由 于 信息 安全 所 涵盖 的 内 容 
非常 广泛 ,要 想 在 一 部 教材 中 介绍 信息 安全 的 方方面面 是 不 切实 际 的 ,在 内 容 安排 上 都 
会 做 适当 的 取舍 。 笔 者 在 实际 教学 过 程 中 发 现 , 正 是 这 种 取舍 造成 目前 信息 安全 基础 
教材 普遍 存在 两 个 方面 的 缺憾 。 其 一 ,对 密码 学 基础 理论 缺乏 比较 系统 的 介绍 。 密 码 
学 是 信息 安全 的 基石 ,信息 安全 理论 与 技术 大 多 建立 在 密码 学 基础 之 上 ,但 遗憾 的 是 ， 
目前 信息 安全 基础 教材 大 多 突出 密码 学 的 应 用 ,而 忽视 了 对 基础 知识 的 介绍 。 其 二 , 没 
有 与 信息 安全 理论 相应 的 实验 内 容 。 实 验 教学 是 信息 安全 基础 教学 中 不 可 缺少 的 内 
容 , 但 目前 的 信息 安全 基础 教材 要 么 没有 实验 内 容 , 要 么 有 实验 内 容 但 对 实验 环境 要 求 
较 高 ,在 实际 教学 中 没有 可 操作 性 。 因 此 ,在 本 书 的 内 容 编 排 上 ,力求 理论 与 实践 相 结 
合 , 包 含 了 密码 学 基础 理论 、 密 码 学 应 用 机 制 、 实 用 安全 技术 及 相关 实验 内 容 ,使 读者 能 
够 更 清晰 地 从 信息 安全 体系 的 层面 掌握 信息 安全 的 基础 理论 和 应 用 技术 。 

本 书 内 容 共 分 为 13 章 ， 

第 1 章 介 绍 信息 安全 的 基本 概念 .发展 历史 、 实 现 的 目标 以 及 主要 的 研究 内 容 。 

第 2 一 4 章 介绍 密码 学 基础 理论 。 第 2 章 对 密码 学 进行 综述 ,介绍 密码 学 的 基本 概 
念 、 密 码 系统 及 其 分 类 ,并 对 经 典 密码 学 的 基本 方法 进行 了 阐述 ; 第 3 章 介 绍 对 称 密码 
体制 ,包括 分 组 密码 和 序列 密码 ,并 对 代表 性 的 对 称 密码 DES、AES、RC4 等 进行 了 阅 
述 ; 第 4 章 对 公 钥 密码 体制 进行 介绍 ,包括 数论 基础 公 钥 密码 体制 的 基本 原理 ,并 对 
代表 性 的 RSA 密码 及 其 他 公 钥 密码 进行 了 阐述 。 

第 5 一 7 童 介绍 密码 学 应 用 机 制 。 第 5 章 介 绍 用 于 解决 信息 安全 完整 性 的 消息 认 
证 机 制 ,重点 包括 消息 认证 码 和 Hash 函数 ; 第 6 章 介绍 身份 认证 与 数字 签名 技术 ,其 
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P ,身份 认证 是 实现 访问 控制 的 基本 前 提 , 而 数字 签名 则 用 于 解决 信息 安全 的 抗 和 否认 性 ; 第 
章 介绍 了 密 钥 管理 机 制 ,包括 对 称 密码 体制 下 的 密 钥 管理 和 公 钥 密码 体制 下 的 密 钥 管理 ， 
点 是 公 钥 证 书 的 管理 及 PKI。 

第 8 一 11 章 介 绍 安全 保障 技术 。 第 8 章 介绍 访问 控制 技术 ,包括 访问 控制 策略 和 常用 
的 网 络 访问 控制 方法 ; 第 9 章 介 绍 常用 的 网 络 攻击 技术 和 相应 的 防范 方法 ; 第 10 章 介 绍 恶 
意 代 码 分 析 技 术 ,根据 对 恶意 代码 的 分 类 ,逐一 介绍 了 各 类 恶意 代码 及 其 防范 方法 ; 第 11 
章 介 绍 网 络 安全 体系 中 的 几 种 常用 系统 ,如 防火 墙 系统 和 入 侵 检测 系统 ,也 介绍 了 近 几 年 逐 
步 发 展 起 来 的 人 侵 防 御 系 统 和 UTM。 

第 12 章 介绍 安全 协议 ,对 TCP/IP 体系 结构 进行 了 安全 分 析 , 并 从 网 络 体系 结构 上 分 
别 介绍 了 网 络 层 \ 传 输 层 及 应 用 层 的 安全 协议 IPSec、SSL 和 SET。 

第 13 章 介绍 评估 信息 系统 安全 的 国内 外 标准 ,包括 TCSEC、CC 及 国内 标准 。 

附录 是 实验 部 分 ,由 8 个 实验 组 成 ,包括 加 密 程 序 的 设计 与 开发 .PGP 软件 的 应 用 、 访 
问 控制 ,协议 分 析 、VRRP 协议 的 配置 .防火 墙 的 配置 .入侵 检 测 系统 的 配置 及 信息 系统 安 
全 等 级 定 级 等 内 容 。 

本 书 由 熊 平 任 主编 , 朱 天 清 任 副 主 编 。 

由 于 作者 自身 水 平 有 限 ,本 书 若 有 不 妥 甚 至 错误 之 处 ,恳请 读者 及 专家 提出 批评 和 宝贵 
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第 1 意 信息 安全 概述 


了 


在 全 球 信息 化 的 推动 下 ,实现 政府 管理 信息 化 .企业 经 营 信息 化 以 及 国防 信息 化 已 经 成 
为 时 代 不 可 抵挡 的 潮流 。 信 息 技术 和 信息 产业 以 前 所 未 有 之 势 ,渗透 到 各 行 各 业 和 社会 生 
活 当 中 ,正在 逐渐 改变 着 人 们 的 生产 和 生活 方式 ,推动 着 社会 的 进步 。 

但 是 ,在 信息 网 络 的 作用 不 断 扩 大 的 同时 ,信息 网 络 的 安全 也 变 得 日 益 重 要 ,网 络 系统 
一 旦 遭 到 破坏 ,其 影响 和 损失 也 将 十 分 巨大 。 信 息 安 全 不 仅 关系 到 普通 民众 的 利益 ,也 是 影 
响 社会 经 济 发 展 ,政治 稳定 和 国家 安全 的 战略 性 问题 。 因 此 ,信息 安全 问题 已 经 成 为 国内 外 
专家 学 者 广泛 关注 的 课题 。 


11 信息 安全 的 概念 


要 了 解 信息 安全 ,首先 要 了 解 什 么 叫 信息 。 

信息 (information) 是 经 过 加 工 (获取 、 推 理 、 分 析 、 计 算 、 存 储 等 ) 的 特定 形式 数据 ,是 
物质 运动 规律 的 总 和 。 信 息 的 主要 特点 具有 时 效 性 、 新 知性 和 不 确定 性 ,信息 是 有 价 
值 的 。 

给 信息 安全 下 一 个 确切 的 定义 是 比较 困难 的 ,主要 是 因为 它 包 含 的 内 容 太 过 广泛 ,如 国 
家 军事 政治 等 机 密 安 全 ,防范 商业 企业 机 密 泄露 ,防范 青少年 对 不 良 信息 的 浏览 ,防范 个 人 
信息 的 泄露 等 。 

信息 安全 是 指 信 息 网 络 的 硬件 、 软 件 及 其 系统 中 的 数据 受到 保护 ,不 受 偶然 的 或 恶意 的 
原因 而 遭 到 破坏 ,更改 .泄露 ,系统 连续 可 靠 正 常 地 运行 ,信息 服务 不 中 断 。 

信息 安全 是 一 门 涉 及 计算 机 科学 、 网 络 技术 .通信 技术 、 密 码 技术 、 信 息 安全 技术 .应 用 
数学 .数论 .信息论 等 多 种 学 科 的 综合 性 学 科 。 从 广义 来 说 ,凡是 涉及 信息 的 保密 性 、 完 整 
性 、 可 用 性 、 真 实 性 和 可 控 性 的 相关 技术 和 理论 都 是 信息 安全 的 研究 领域 。 

信息 安全 涉及 的 知识 领域 如 图 1-1 所 示 。 
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图 1-1 信息 安全 涉及 的 知识 领域 


12 信息 安全 的 发 展 历史 


从 历史 中 学 习 经 验 , 可 以 减少 重复 之 前 错误 的 几率 。 

随 着 社会 和 技术 的 不 断 进步 ,人 们 处 理 信 息 资源 的 安全 方式 也 是 不 断 发 展 的 。 理 解 这 
种 发 展 历史 对 于 理解 今天 如 何 实现 信息 安全 非常 重要 。 在 信息 安全 的 发 展 历史 中 ,经 历 了 
古典 信息 安全 ,辐射 安全 、 计 算 机 安全 、 网 络 安 全 和 信息 安全 等 几 个 阶段 。 


1. 古典 信息 安全 


很 久 以 前 ,所 有 的 财产 包括 信息 都 是 物理 的 ,为 了 保护 这 些 财 产 ,人 们 利用 物理 性 安全 
措施 ,如 城墙 .护城河 .秘密 的 藏 宝地 等 。 传 递 信息 一 般 由 可 靠 的 使 者 完成 。 但 这 种 安全 有 
其 缺陷 ,一 旦 信息 在 传输 过 程 中 被 截获 , 则 信息 的 内 容 会 被 敌人 知晓 。 其 解决 方法 是 采用 某 
些 安 全 措施 ,如 早期 采用 密封 的 陶 钠 作为 信封 传输 信息 ,一 旦 密封 被 破坏 , 则 表示 信息 的 安 
全 性 受到 了 破坏 。 

当然 ,这 种 方法 无 法 防范 信息 的 内 容 被 窃取 。 所 以 早 在 Julius Caesar 时 期 ,人 们 就 采 
用 了 某 种 通信 安全 措施 。Julius Caesar 发 明了 恺 撤 密 码 ,信息 就 算 被 截获 也 无 法 读 出 具体 
内 容 。 这 种 观念 一 直 被 持续 到 第 二 次 世界 大 战 。 德 国 使 用 了 一 台 名 为 Enigma 的 机 器 对 发 
送 到 军事 部 门 的 消息 进行 加 密 。 

消息 并 不 是 唯一 的 通信 数据 ,为 了 防范 敌人 监听 语音 消息 ,美国 军事 部 门 使 用 纳 瓦 霍 语 
(Navaho) 的 通信 员 。 传 送 消 息 采 用 其 母语 ,即使 敌人 监听 到 无 线 电 广播 ,他 们 也 不 可 能 理 
解 听 到 的 消息 。 

第 二 次 世界 大 战 以 后 ,前 苏联 使 用 一 次 性 便条 (one-time-pad) 保护 间谍 发 送 的 消息 。 
一 次 性 便条 是 一 县 在 每 一 页 上 都 标 有 随机 数字 的 纸 ,每 页 纸 用 于 一 条 消息 。 如 果 使 用 正确 ， 
那么 这 种 加 密 机 制 是 无 法 破解 的 ,但 遗憾 的 是 ,苏联 人 没有 正确 使 用 (他 们 重复 使 用 了 一 次 
性 便条 ) ,因此 有 一 些 消息 就 被 破解 了 。 

古典 信息 安全 基本 上 是 建立 在 古典 密码 学 基础 之 上 的 。 





2. 辐射 安全 


只 要 使 用 加 密 系 统 时 不 犯错 误 ,好 的 加 密 方法 就 很 难 被 破解 。 因 此 人 们 试图 通过 其 他 
方式 获取 信息 。 在 20 世纪 50 年 代 , 人 们 认识 到 可 以 通过 获取 电话 线 上 传输 的 电信 和 号 来 获 
取消 息 。 甚 至 在 目前 ,有 专门 的 仪器 可 以 接收 显示 器 的 电磁 辐射 ,来 还 原 显示 内 容 。 针 对 这 
一 问题 ,美国 人 建立 了 一 套 名 为 TEMPEST 的 规范 ,规定 了 在 敏感 环境 中 使 用 计算 机 的 电 
子 辐 射 标准 ,其 目的 是 减少 可 以 被 用 于 收集 信息 的 电磁 辐射 。 在 我 国 的 信息 系统 安全 等 级 
保护 系列 标准 中 也 明确 规定 了 安全 计算 机 系统 应 该 遵守 的 防 辐射 要 求 。 


3. 计算 机 安全 


在 20 世纪 70 年 代 初期 ,David Bell 和 Leonard La Padula 提出 了 一 种 保护 计算 机 操作 
的 模型 。 该 模型 是 以 政府 对 不 同 级 别 的 分 类 信息 (不 保密 、 限 制 \. 保 密 、 机 密 和 绝密 ) 和 不 同 
级 别 的 许可 权限 的 概念 为 基础 的 。 如 果 某 个 人 的 许可 级 别 高 于 文件 的 分 类 级 别 , 那 么 这 个 
人 就 可 以 访问 该 文件 。 反 之 , 则 被 拒绝 。 

这 种 模型 的 概念 最 终于 1985 年 形成 了 美国 国防 部 标准 (United States Department of 
Defense Standard)5200. 28 可 信 计 算 系 统 评估 标准 (Trusted Computing System Evaluation 
Criteria,TCSEC ,也 称 橙 皮 书 或 橘 皮 书 ) ,多 年 以 来 一 直 是 评估 多 用 户主 机 和 小 型 操作 系统 
的 主要 方法 。 


4. 网 络 安全 


当 计算 机 相互 连接 形成 网 络 时 ,就 会 出 现 新 的 安全 问题 ,而 原 有 的 问题 也 会 以 不 同方 式 
表现 。 通 信和 需要 通过 局 域 网 或 者 广域网 ,那么 专业 加 密 器 用 起 来 就 比较 麻烦 。 还 有 遍布 建 
筑 物 内 的 铜 线 发 出 的 辐射 问题 ,无 线 网 络 的 辐射 安全 问题 等 。 不 同 的 系统 相互 连接 ,任何 一 
个 薄弱 的 环节 都 会 造成 整个 网 络 的 安全 问题 。 网 络 安全 的 解决 方法 显然 不 是 某 一 种 技术 或 
者 某 一 个 标准 可 以 实现 的 。 它 需要 多 种 安全 措施 共同 起 作用 ,如 加 密 、 安 全 认证 ,访问 控制 、 
安全 管理 等 。 目 前 ,网 络 安全 是 信息 安全 的 主要 组 成 部 分 。 


5. 信息 安全 


显然 没有 一 种 方案 可 以 解决 所 有 的 安全 问题 。 事 实 上 ,优秀 的 安全 方案 应 该 是 以 上 解 
决 方案 的 综合 ,优秀 的 物理 方案 保护 物理 财产 ,比如 纸 上 的 记录 和 系统 。 通 信安 全 保护 传输 
中 的 信息 。 当 敌人 可 能 从 计算 机 系统 读 取 电 子 辆 射 信息 时 就 必须 考虑 到 辐射 安 全 。 计 算 安 
全 是 控制 对 计算 机 系统 的 访问 所 必需 的 。 这 些 概念 综合 在 一 起 就 构成 了 信息 安全 。 


13 信息 安全 的 目标 


信息 安全 的 目标 是 指 保障 信息 系统 在 遭受 攻击 的 情况 下 信息 的 某 些 安全 性 质 不 变 。 通 
俗 地 讲 ,信息 安全 的 目标 提出 了 这 样 一 个 问题 , 即 信息 究竟 怎样 才 算是 安全 了 呢 ? 在 提出 信 
息 安全 的 目标 之 前 ,有 必要 先 分 析 一 下 各 种 安全 攻击 以 及 这 些 攻击 对 信息 系统 造成 的 影响 。 
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131 安全 性 攻击 


为 了 获取 有 用 的 信息 或 达到 某 种 目的 ,攻击 者 会 采取 各 种 方法 对 信息 系统 进行 攻击 。 
这 些 攻 击 方法 分 为 两 类 : 被 动 攻击 和 主动 攻击 。 其 中 ,被 动 攻击 试图 了 解 或 利用 通信 系统 
的 信息 但 不 影响 系统 资源 ,而 主动 攻击 则 试图 改变 系统 资源 或 影响 系统 运作 。 


1. 被 动 攻击 


被 动 攻击 指 攻 击 者 在 未 被 授权 的 情况 下 ,非法 获取 信息 或 数据 文件 ,但 不 对 数据 信息 做 
任何 修改 ,通常 包括 监听 未 受 保护 的 通信 、 流 量 分 析 、 解 密 弱 加 密 的 数据 流 、 获 得 认证 信息 
等 。 被 动 攻击 的 特性 是 对 传输 进行 窍 听 和 监测 ,攻击 者 的 目标 是 获得 传输 的 信息 。 常 用 的 
被 动 攻击 手段 如 下 所 述 。 

(1) 搭 线 监 听 : 搭 线 监听 是 将 导线 搭 到 无 人 值守 的 网 络 传输 线路 上 进行 监听 。 只 要 所 
搭 的 监听 设备 不 影响 网 络 负载 ,通常 不 易 被 发 觉 。 然 后 通过 解 调 和 正确 的 协议 分 析 ,就 可 以 
掌握 通信 的 全 部 内 容 。 

(2) 无 线 截获 : 通过 高 灵敏 接收 装置 接收 网 络 站 点 或 网 络 连接 设备 辐射 的 电磁 波 , 然 
后 对 电磁 信号 进行 分 析 , 可 以 恢复 数据 信号 进而 获得 网 络 传输 的 信息 。 对 于 无 线 网 络 通信 ， 
无 线 截获 与 搭 线 监听 有 同样 的 效果 。 

(3) 其 他 截获 : 用 程序 和 病毒 截获 信息 是 计算 机 技术 发 展 的 新 型 手段 ,在 通信 设备 或 
主机 中 种 植木 马 或 施放 病毒 程序 后 ,这 些 程序 会 将 有 用 的 信息 通过 某 种 方式 远程 发 送出 来 。 

(4) 流量 分 析 : 假设 通过 某 种 手段 (如 加 密 ) 使 得 攻击 者 从 截获 的 信息 中 无 法 得 到 消息 
的 真实 内 容 。 攻 击 者 还 可 以 通过 观察 这 些 数据 的 模式 ,分 析出 通信 双方 的 位 置 、 通 信 的 次 数 
及 消息 的 长 度 等 信息 ,而 这 些 信息 可 能 对 通信 双方 来 说 也 是 不 希望 被 攻击 者 得 知 的 ,这 种 攻 
击 手段 称 为 流量 分 析 。 

被 动 攻击 由 于 不 涉及 对 数据 的 更 改 , 所 以 很 难 察觉 。 然 而 通过 加 密 的 手段 阻止 这 种 攻 
击 却 是 可 行 的 。 因 此 对 付 被 动 攻击 的 重点 是 预防 ,而 不 是 检测 。 


2. 主动 攻击 


主动 攻击 包括 对 数据 流 进行 算 改 或 伪造 ,可 分 为 4 类 。 

(1) 伪装 : 指 某 实体 假冒 别 的 实体 ,以 获取 合法 用 户 的 被 授予 的 权利 。 

(2) 重 放 : 指 攻击 者 对 截获 的 合法 数据 进行 复制 ,然后 出 于 非法 目的 再 次 生成 ,并 在 非 
授权 的 情况 下 进行 传输 。 

(3) 消息 算 改 : 指 对 一 个 合法 消息 的 某 些 部 分 进行 修改 删除 ,或 延迟 消息 的 传输 、 改 
变 消息 的 顺序 ,以 产生 混淆 是 非 的 效果 。 

(4) 拒绝 服务 : 阻止 或 禁止 信息 系统 正常 的 使 用 。 它 的 主要 形式 是 破坏 某 实体 网 络 或 
信息 系统 ,使 得 被 攻击 目标 资源 耗 尽 或 降低 其 性 能 。 

主动 攻击 的 特点 与 被 动 攻击 恰好 相反 。 被 动 攻击 虽然 难以 检测 ,但 可 采取 相应 措施 有 
效 地 防止 ,而 要 绝对 防止 主动 攻击 是 十 分 困难 的 ,因为 需要 保护 的 范围 太 广 。 因 此 ,对 付 主 
动 攻 击 的 重点 在 于 检测 并 从 攻击 造成 的 破坏 中 及 时 地 恢复 。 
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分 析 这 些 攻击 可 以 看 出 ,被 动 攻击 使 得 机 密 信息 被 泄露 ,破坏 了 信息 的 机 密 性 ; 主动 攻 
击 的 伪装 、 重 放 、 消 息 算 改 等 破坏 了 信息 的 完整 性 ; 拒绝 服务 则 破坏 了 信息 系统 的 可 用 性 。 


1.32 信息 安全 的 目标 


信息 安全 的 目标 是 保护 信息 的 机 密 性 、 完 整 性 和 可 用 性 , 即 CIA (confidentiality， 
integrity,availability) 。 下 面 以 用 户 A 和 用 户 B 进行 一 次 通信 为 例 介绍 这 几 个 性 质 。 

机 密 性 指 保证 信息 不 被 非 授权 访问 , 即 A 发 出 的 信息 只 有 B 能 收 到 ,假设 有 第 三 方 获 
取 了 信息 也 无 法 知晓 内 容 , 从 而 不 能 使 用 。 一 旦 有 第 三 方 获 取 了 信息 内 容 , 则 说 明 信 息 的 机 
密 性 被 破坏 。 

完整 性 也 就 是 保证 真实 性 , 即 信息 在 生成 传输、 存储 和 使 用 过 程 中 不 应 被 第 三 方 自 改 。 
如 用 户 A 发 出 的 信息 被 第 三 方 用 户 C 获取 了 ,并 且 对 内 容 进行 了 算 改 , 则 说 明 信 息 的 真实 
性 被 破坏 。 

可 用 性 指 保障 信息 资源 随时 可 提供 服务 的 特性 , 即 授权 用 户 可 以 根据 需要 随时 访问 所 
需 信 息 。 也 就 是 说 要 保障 A 能 顺利 地 发 送信 息 、B 能 顺利 地 接收 信息 。 

三 个 目标 只 要 有 一 个 被 破坏 ,就 表明 信息 的 安全 受到 了 破坏 。 

信息 安全 的 目标 是 致力 于 保障 信息 的 这 三 个 特性 不 被 破坏 。 构 建安 全 系统 的 一 个 挑战 就 
是 在 这 些 特性 中 找到 一 个 平衡 点 ,因为 它们 常常 是 相互 矛盾 的 。 例 如 ,在 安全 系统 中 ,只 需 
要 简单 地 阻止 所 有 人 读 取 一 个 特定 的 对 象 , 就 可 以 轻易 地 保护 此 对 
象 的 机 密 性 。 但 是 ,这 个 系统 并 不 是 安全 的 ,因为 它 不 能 满足 正当 访 [et \ 

问 的 可 用 性 要 求 。 也 就 是 说 ,必须 在 机 密 性 和 可 用 性 之 间 找 到 平衡 。 NM/ 

但 是 平衡 不 是 一 切 ,事实 上 ,三 个 特征 既 可 以 独立 ,也 可 以 有 重 全 
释 , 如 图 1-2 所 示 , 甚 至 可 以 彼此 不 相 容 , 如 机 密 性 的 保护 会 严重 地 限 
制 可 用 性 。 

除了 以 上 三 个 基本 特性 之 外 ,不 同 的 信息 系统 根据 其 业务 类 型 图 1-2 信息 安全 性 质 
的 不 同 ,可 能 还 有 更 加 细 化 的 具体 要 求 , 由 以 下 4 个 特性 来 保障 : 之 间 的 关系 

(1) 可 靠 性 (reliability)。 可 靠 性 指 系统 在 规定 条 件 下 和 规定 时 
间 内 、 完 成 规定 功能 的 概率 。 可 靠 性 是 网 络 安全 最 基本 的 要 求 之 一 ,网 络 不 可 靠 ,事故 不 断 ， 
也 就 谈 不 上 网 络 的 安全 。 目 前 ,对 于 网 络 可 靠 性 的 研究 基本 上 偏重 于 硬件 可 靠 性 方面 。 研 
制 高 可 靠 性 元 器 件 设备 ,采取 合理 的 元 余 备 份 措施 仍 是 最 基本 的 可 靠 性 对 策 , 然 而 ,有 许多 
故障 和 事故 ,与 软件 可 靠 性 、 人 员 可 靠 性 和 环境 可 靠 性 有 关 。 

(2) 不 可 抵赖 性 (non-repudiation)。 也 称 作 抗 否认 性 。 抗 抵赖 性 是 面向 通信 双方 (人 、 
实体 或 进程 ) 信 息 真实 统一 的 安全 要 求 , 它 包括 收 、 发 双方 均 不 可 抵赖 。 一 是 源 发 证 明 ,提供 
给 信息 接收 者 以 证 据 , 这 将 使 发 送 者 谎 称 未 发 送 过 这 些 信息 或 者 否认 它 的 内 容 的 企图 不 能 
得 逮 ; 二 是 交付 证 明 ,提供 给 信息 发 送 者 以 证 据 , 这 将 使 接收 者 谎 称 未 接收 过 这 些 信息 或 者 
否认 它 的 内 容 的 企图 不 能 得 退 。 

(3) 可 控 性 : 可 控 性 是 对 信息 及 信息 系统 实施 安全 监控 。 管 理 机 构 对 危害 国家 信息 的 
来 往 、 使 用 加 密 手段 从 事 非法 的 通信 活动 等 进行 监视 审计 ,对 信息 的 传播 及 内 容 具 有 控制 
能 力 。 
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(4) 可 审查 性 : 使 用 审计 监控、 防 抵赖 等 安全 机 制 ,使 得 使 用 者 (包括 合法 用 户 、 攻 击 
者 、 破 坏 者 .抵赖 者 ) 的 行为 有 证 可 查 ,并 能 够 对 网 络 出 现 的 安全 问题 提供 调查 依据 和 手段 。 
审计 是 通过 对 网 络 上 发 生 的 各 种 访问 情况 记录 日 志 ,并 对 日 志 进 行 统计 分 析 , 是 对 资源 使 用 
情况 进行 事后 分 析 的 有 效 手 段 , 也 是 发 现 和 追踪 事件 的 常用 措施 。 审 计 的 主要 对 象 为 用 户 、 
主机 和 结 点 ,主要 内 容 为 访问 的 主体 、 客 体 、 时 间 和 成 败 情况 等 。 


14 信息 安全 的 研究 内 容 


信息 安全 的 研究 范围 非常 广泛 ,其 领域 划分 成 三 个 层次 : 信息 安全 基础 理论 研究 、 信 息 
安全 应 用 技术 研究 和 信息 安全 管理 研究 ,如 图 1-3 所 示 。 基 础 理论 研究 包括 密码 研究 .安全 
理论 研究 ; 应 用 技术 研究 包括 安全 实现 技术 、 安 全 平台 技术 研究 ; 安全 管理 研究 包括 安全 
标准 、 安 全 策略 、 安 全 测评 等 。 





信息 安全 管理 
安全 标准 、 安 全 策略 、 安 全 测评 
信息 安全 应 用 技术 









































1-3 ”信息 安全 的 研究 范围 


信息 安全 基础 理论 是 整个 研究 内 容 的 基础 ,为 信息 安全 应 用 技术 和 安全 管理 提供 理论 
指导 ; 信息 安全 应 用 技术 是 实现 信息 安全 的 实际 手段 ; 信息 安全 管理 则 研究 实现 信息 安全 
的 各 种 标准 ,策略 ,规章 、 制 度 。 


141 信息 安全 基础 研究 


信息 安全 基础 研究 的 主要 内 容 包 括 密码 学 研究 和 网 络 信 息 安 全 基础 理论 研究 。 
1. 密码 理论 


密码 理论 是 信息 安全 的 基础 ,信息 安全 的 机 密 性 、 完 整 性 和 抗 否认 性 都 依赖 密码 算法 。 
通过 加 密 可 以 保护 信息 的 机 密 性 ; 通过 消息 认证 可 以 保证 信息 的 完整 性 ; 通过 数字 签名 可 
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以 保护 信息 的 抗 否认 性 。 另 外 ,加 /解密 需要 密 钥 参与 ,因此 密 钥 的 管理 和 传递 也 是 非常 重 
要 的 内 容 。 密 码 学 的 主要 研究 内 容 是 加 密 算法 、 消 息 认证 算法 、 数 字 签名 算法 及 密 钥 管理 。 

(1) 数据 加 密 算 法 。 加 密 是 一 种 数学 变换 ,在 选 定 参数 ( 密 钥 ) 的 参与 下 ,将 信息 从 易于 
理解 的 明文 加 密 为 不 易 理 解 的 密 文 ,同时 也 可 以 将 密 文 解密 为 明文 。 加 密 和 解密 用 的 密 钥 
可 以 相同 ,也 可 以 不 同 。 加 密 和 解密 的 密 钥 相同 的 算法 称 为 对 称 加 密 算法 ,如 DES、AES 
等 ; 加 密 和 解密 的 密 钥 不 相同 的 算法 称 为 非 对 称 算法 ,通常 一 个 密 钥 公 开 ( 公 钥 ) , 另 一 个 密 
钥 ( 私 钥 ) 秘 密 保存 ,如 RSA、ECC 等 。 

(2) 消息 认证 算法 。 消 息 认证 是 通过 消息 摘要 实现 的 。 消 息 摘 要 则 是 通过 消息 摘要 算 
法 产生 的 。 消 息 摘要 算法 也 是 一 种 数学 变换 ,通常 是 单 向 变换 , 即 不 可 逆 变 换 , 它 将 不 定 长 
度 的 信息 变换 为 固定 长 度 ( 如 64 位 ) 的 摘要 ,信息 的 任何 改变 都 会 引起 摘要 的 改变 ,因而 可 
以 通过 消息 摘要 检测 信息 是 否 被 算 改 。 

(3) 数字 签名 算法 。 数 字 签名 主要 是 消息 摘要 和 非 对 称 加 密 算法 的 组 合 。 从 原理 上 
讲 , 通 过 私 钥 用 非 对 称 算法 对 信息 本 身 进行 加 密 , 即 可 实现 数字 签名 功能 。 用 私 钥 加 密 后 只 
能 用 对 应 的 公 钥 解密 ,从 而 证 明 此 密 文 确实 是 拥有 加 密 私 钥 的 用 户 签名 的 ,因而 是 不 可 否认 
的 。 实 际 上 ,由 于 非 对 称 算法 的 计算 速度 很 慢 , 所 以 签名 时 一 般 不 直接 对 消息 签名 ,而 是 对 
消息 的 摘要 进行 签名 。 

(4) 密 钥 管理 。 密 钥 算 法 是 公开 的 ,但 密 钥 必须 严格 保护 。 如 果 非 授权 用 户 获 得 加 密 
算法 和 密 钥 , 则 很 容易 破解 或 伪造 密 文 ., 加 密 就 失去 了 意义 。 因 此 , 密 钥 的 产生 发放、 存储 、 
更 换 .销毁 等 内 容 ,都 是 密 钥 管理 要 研究 的 。 

以 上 密码 理论 是 解决 信息 安全 问题 的 基础 之 基础 。 之 所 以 这 么 说 ,是 因为 对 付 各 种 网 
络 攻 击 所 用 到 的 安全 理论 与 技术 大 多 都 是 以 这 些 理论 为 基础 的 。 归 纳 一 下 网 络 通信 环境 下 
的 攻击 方式 ,大 多 都 属于 以 下 8 类 。 

@ 泄密 : 将 消息 透露 给 未 被 授权 的 任何 人 或 程序 。 

@ 传输 分 析 : 分 析 通 信 双 方 的 通信 模式 。 在 面向 连接 的 应 用 中 ,确定 连接 的 频率 和 持 
续 时 间 ; 在 面向 连接 或 无 连接 的 环境 中 ,确定 双方 的 消息 数量 和 长 度 。 

@@ 伪装 : 欺诈 源 向 网 络 中 插入 一 条 消息 。 例 如 ,攻击 者 产生 一 条 消息 并 声称 这 条 消息 
是 来 自 某 合 法 实体 ,或 非 消 息 接收 方 发 送 的 关于 收 到 或 未 收 到 消息 的 欺诈 应 答 。 

@ 内 容 修改 : 对 消息 内 容 进行 插入 、 删 除 、 转 换 或 修改 。 

@ 顺序 修改 : 对 通信 双方 的 消息 顺序 进行 插入 、 删 除 、 重 新 排序 。 

@ 计时 修改 : 对 消息 的 延 时 和 重 放 。 在 面向 连接 的 应 用 中 ,整个 消息 序列 可 能 是 前 面 
某 合法 消息 序列 的 重 放 , 也 可 能 是 消息 序列 中 的 一 条 消息 被 延 时 或 重 放 ; 在 面向 无 连接 的 
应 用 中 ,可 能 是 一 条 消息 (如 数据 报 ) 被 延 时 或 重 放 。 

@ 发 送 方 和 否认: 发 送 方 否 认 发 送 过 某 消息 。 

接收 方 否认 : 接收 方 否认 接收 到 某 消息 。 

对 付 @®、@ 两 种 攻击 可 以 利用 密码 编码 理论 ; 对 付 @ 一 @ 的 攻击 则 利用 消息 认证 算法 ; 
对 付 、@ 则 应 使 用 数字 签名 算法 。 


2. 安全 理论 
安全 理论 的 内 容 主要 包括 身份 认证 、 授 权 和 访问 控制 .安全 审计 和 安全 协议 。 
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身份 认证 指 验证 用 户 身份 与 所 声称 内 容 是 否 一 致 的 过 程 。 例 如 ,采用 密码 进行 认证 ,还 
有 基于 证 书 的 认证 等 。 

授权 和 访问 控制 这 两 个 概念 紧密 相连 ,经常 替换 使 用 。 授 权 侧重 强调 用 户 拥 有 什么 样 
的 访问 权限 ,通常 为 系统 预定 ; 访问 控制 对 用 户 访问 行为 进行 控制 ,将 用 户 的 访问 行为 控制 
在 授权 允许 的 范围 之 内 。 授 权 类 似 于 签发 通行 证 ,访问 控制 类 似 于 门卫 ,前 者 规定 用 户 是 否 
有 权 出 入 某 个 区 域 ; 后 者 检查 用 户 在 出 入 时 是 否 超 越 禁区 。 

审计 指 对 用 户 的 行为 进行 记录 、 分 析 和 审查 ,以 确认 操作 的 历史 行为 。 

安全 协议 指 构建 安全 平台 时 所 使 用 的 与 安全 防护 有 关 的 协议 ,是 各 种 安全 技术 和 策略 
具体 实现 时 共同 遵循 的 规定 ,如 网 络 层 安全 协议 IPSec 传输 层 安 全 协议 SSL .应 用 层 安全 
电子 商务 协议 SET 等 。 

















142 信息 安全 应 用 研究 


1. 安全 技术 


安全 技术 是 对 信息 系统 进行 安全 检查 和 防护 的 技术 ,包括 防火 墙 技术 漏洞 扫描 和 分 
析 、 入 侵 检 测 、 防 病毒 等 。 

防火 墙 技术 是 一 种 安全 隔离 技术 ,通过 在 两 个 安全 策略 上 不 同 域 之 间 设 置 防火 墙 来 控 
制 两 个 域 之 间 的 互 访 行为 。 

漏洞 扫描 和 分 析 是 针对 特定 信息 网 络 中 存在 的 漏洞 而 进行 的 。 信 息 网 络 中 无 论 是 主机 
还 是 网 络 设备 都 存在 安全 隐患 ,有 些 是 因 系统 设计 考虑 不 周 留 下 的 ,有 些 是 系统 建设 时 出 现 
的 。 这 些 漏 洞 很 容易 被 攻击 ,从 而 危害 网 络 安 全 。 由 于 安全 漏洞 大 多 是 隐蔽 的 ,因此 必须 定 
期 扫描 检查 、 修 复 加 固 。 操 作 系统 的 补丁 就 是 为 弥补 已 经 发 现 的 漏洞 而 开发 的 。 由 于 漏洞 
扫描 技术 很 难 自 动 分 析 系 统 的 设计 和 实现 ,因此 很 难 发 现 未 知 的 漏洞 。 对 于 那些 未 知 的 漏 
洞 ,往往 通过 专门 的 漏洞 分 析 技 术 进 行 处 理 ,如 逆向 工程 。 

入侵 检测 是 通过 从 计算 机 网 络 系统 中 的 若干 关键 结 点 收集 信息 ,并 分 析 这 些 信息 。 监 
控 网 络 中 是 否 有 违反 安全 策略 的 行为 或 是 否 存 在 入 侵 行为 ,是 对 指向 计算 和 网 络 资源 的 恶 
意 行 为 的 识别 和 响应 过 程 。 

病毒 是 一 种 具有 传染 性 和 破坏 性 的 计算 机 程序 。 随 着 网 络 的 普及 ,计算 机 病毒 的 传播 
速度 大 大 加 快 ,破坏 力也 在 增强 ,因此 研究 和 防范 计算 机 病毒 也 是 信息 安全 的 一 个 重要 方 
面 。 病 毒 的 防范 研究 重点 包括 病毒 的 作用 机 理 、 病 毒 的 特征 \ 传 播 模式 、 扫 描 和 清除 等 。 


平台 安全 包括 物理 安全 、 网 络 安全 、 系 统 安全 ,数据 安全 、 用 户 安全 和 边界 安全 。 

物理 安全 指 保障 信息 网 络 物理 设备 不 受 物 理 损害 ,或 物理 设备 损坏 时 能 及 时 修复 或 替 
换 。 通 常 是 针对 设备 的 自然 损害 、 人 为 破坏 或 灾害 损害 而 提出 的 。 目 前 常见 的 物理 安全 技 
术 有 备份 技术 、 安 全 加 固 技 术 、 安 全 设计 技术 等 。 

网 络 安全 的 目标 是 防止 针对 网 络 平台 的 实现 和 访问 模式 的 安全 威胁 ,主要 内 容 包 括 安 
全 隧道 技术 、 网 络 协议 脆弱 性 分 析 技 术 、 安 全 路 由 技术 、 安 全 IP 协议 等 。 
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系统 安全 是 各 种 应 用 程序 的 基础 。 系 统 安全 关心 的 主要 问题 是 操作 系统 自身 的 安全 性 
问题 ,主要 研究 内 容 包 括 安全 操作 系统 的 模型 和 实现 ,操作 系统 的 安全 加 固 、 脆 弱 性 分 析 、 操 
作 系统 和 其 他 开发 平台 的 安全 关系 等 。 

数据 是 信息 的 直接 表现 形式 ,数据 安全 主要 关心 数据 在 存储 和 应 用 过 程 中 是 否 会 被 非 
授权 用 户 有 意 破 坏 或 者 被 授权 用 户 无 意 破 坏 。 数 据 通常 以 数据 库 或 文件 形式 存储 ,因此 数 
据 安全 主要 表现 为 数据 库 或 数据 文件 的 安全 问题 。 数 据 库 系统 或 数据 文件 系统 采用 什么 样 
的 认证 ,授权 ,访问 控制 及 审计 等 安全 机 制 ,达到 什么 安全 等 级 ,机 密 数 据 能 否 被 加 密 存储 
等 。 数 据 安全 研究 的 主要 内 容 有 安全 数据 库 系统 、 数 据 存 取 安全 策略 和 实现 方式 等 。 

用 户 安全 问题 有 两 层 含义 : 一 方面 ,合法 用 户 的 权限 是 否 被 正确 授权 ,是 否 有 越权 访 
问 , 是 否 只 有 授权 用 户 才能 使 用 系统 资源 ; 另 一 方面 ,被 授权 的 用 户 是 否 获得 了 必要 的 访问 
权限 ,是 否 存在 多 业务 系统 的 授权 矛盾 等 。 用 户 安全 研究 的 主要 内 容 包括 账户 的 管理 .用户 
登录 模式 、 用 户 权限 管理 .用 户 的 角色 管理 等 。 

边界 安全 关心 的 是 不 同安 全 策略 的 区 域 边界 连接 的 安全 问题 。 不 同 的 安全 域 具有 不 同 
的 安全 策略 ,将 安全 域 互 连 时 应 该 采用 什么 样 的 安全 策略 才 不 会 破坏 原来 的 安全 策略 ,应 该 
采用 什么 样 的 隔离 和 控制 措施 限制 互 访 ,各 种 安全 机 制 和 措施 互 连 后 满足 什么 样 的 安全 关 
系 , 这 些 问 题 都 需要 解决 。 边 界 安全 的 主要 研究 内 容 是 安全 边界 防护 协议 和 模型 .不 同安 全 
策略 的 连接 关系 问题 ,信息 从 高 安全 域 流向 低 安全 域 的 保密 问题 ,安全 边界 的 审计 问题 等 。 


143 信息 安全 管理 研究 


1. 安全 策略 研究 


安全 策略 是 安全 系统 设计 实施 、 管 理 和 评估 的 依据 。 针 对 具体 的 信息 和 网 络 的 安全 ， 
应 保护 哪些 资源 ,花费 多 大 代价 ,采取 什么 措施 ,达到 什么 样 的 安全 强度 ,都 是 由 安全 策略 决 
定 的 ,不 同 国家 和 单位 针对 不 同 的 应 用 都 应 制定 相应 的 安全 策略 。 例 如 ,什么 级 别 的 信息 应 
该 采用 什么 保护 强度 ,针对 不 同 级 别 的 风险 能 承受 什么 样 的 代价 ,对 于 这 些 问题 都 应 该 制定 
策略 。 

安全 策略 的 研究 内 容 包 括 安 全 风险 评估 、 安 全 代价 评估 、 安 全 机 制 的 制定 以 及 安全 措施 
的 实施 和 管理 等 。 


2. 安全 标准 研究 


安全 标准 研究 是 推进 安全 技术 和 产品 标准 化 、 规 范 化 的 基础 。 各 国都 非常 重视 安全 标 
准 的 研究 和 制定 。 主 要 的 标准 化 组 织 都 推出 了 安全 标准 ,著名 的 安全 标准 有 可 信 计 算 机 系 
统 评估 准则 (TCSEC) .通用 准则 (CC) ,安全 管理 标准 ISO17799 等 。 

安全 标准 给 出 了 技术 发 展 、 产 品 研制 、 安 全 测评 ,方案 设计 等 多 方面 的 技术 依据 。 如 
TCSEC 将 安全 划分 为 7 个 等 级 ,并 从 技术 、 文 档 \ 保 障 等 方面 规定 了 各 个 安全 等 级 的 要 求 。 

安全 标准 研究 的 主要 内 容 包 括 安 全 等 级 划分 、 安 全 技术 操作 标准 、 安 全 体系 结构 标准 、 
安全 产品 测评 标准 和 安全 工程 实施 标准 等 。 
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3. 安全 测评 研究 


安全 测评 是 依据 安全 标准 对 安全 产品 或 信息 系统 进行 安全 性 评定 。 目 前 开展 的 测评 有 
技术 测评 机 构 开 展 的 技术 测评 ,也 有 安全 主管 部 门 开 展 的 市 场 准 入 测评 。 测 评 包括 功能 测 
评 、 性 能 测评 、 安 全 性 测评 、 安 全 等 级 测评 等 。 

安全 测评 研究 的 主要 内 容 有 测评 模型 ,测评 方法 ,测评 工具 、 测 评 规程 等 。 


第 2 章 密码 学 基础 


密码 学 是 一 门 关于 加 密 和 解密 变换 的 科学 ,是 保护 数据 和 信息 的 有 力 武器 。 
密码 学 作为 信息 安全 理论 与 技术 的 基石 ,在 信息 安全 领域 发 挥 着 中 流 研 柱 的 作用 。 密 
码 学 理论 的 应 用 ,成 为 现代 信息 网 络 得 以 生存 和 不 断 发 展 的 基本 前 提 。 


21 密码 学 的 发 展 历史 


密码 通信 的 历史 极为 久远 ,其 起 源 可 以 追溯 到 几 千 年 前 的 埃及 、 巴 比 伦 、 古 罗马 和 古 希 
腊 , 古 典 密码 术 虽 然 不 是 起 源 于 战争 ,但 其 发 展 成 果 却 首先 被 用 于 战争 。 交 战 双方 都 为 了 保 
护 自己 的 通信 安全 ,以 及 窃取 对 方 情报 而 研究 各 种 方法 。 

密码 学 的 英文 单词 cryptography 来 源 于 词根 crypto( 隐 藏 或 秘密 ) 以 及 graphy( 写 )。 
一 般 来 讲 ,人 们 通常 认为 密码 学 是 一 种 将 信息 表述 为 不 可 读 内 容 的 方式 (加 密 ) ,并 且 可 以 采 
用 一 种 秘密 方法 将 信息 恢复 出 来 (解密 )。 密 码 学 提供 的 最 基础 的 服务 就 是 使 通信 者 能 够 互 
相 发 送信 息 同时 避免 其 他 人 员 读 取信 息 内 容 。 随 着 密码 学 的 发 展 , 它 还 提供 了 身份 认证 、 完 
整 性 校 验 .数字 签名 等 安全 服务 。 

1834 年 ,伦敦 大 学 的 实验 物理 学 教授 惠 斯 顿 发 明了 电动 机 ,这 是 通信 向 机 械 化 .电气 化 
跃进 的 开始 ,也 为 密码 通信 采用 在 线 加 密 技术 提供 了 前 提 条 件 。 

密码 技术 的 成 果 首 先 被 用 于 战争 。1914 年 第 一 次 世界 大 战 爆发 , 德 俄 相互 宣战 。 在 交 
战 过 程 中 ,德军 破译 了 俄 军 第 一 军 给 第 二 军 的 电文 ,从 中 得 知 第 一 军 的 给 养 已 经 中 断 。 根 据 
这 一 重要 情报 ,德军 在 这 次 战役 中 取得 了 全 胜 。 这 说 明 当 时 交战 双方 已 开展 了 密码 战 ,战争 
刺激 了 密码 学 的 发 展 。 

1920 年 ,美国 电报 电话 公司 的 弗 纳 姆 发 明了 弗 纳 姆 密码 。 其 原理 是 利用 电 传 打字 机 的 五 
单位 码 与 密 钥 字母 进行 模 2 相 加 ,如 信息 码 ( 明 文 ) 为 11010, 密 钥 码 为 11101, 则 模 2 相 加 得 
00111 即 为 密 文 码 。 接 收 时 ,将 密 文 码 再 与 密 钥 码 模 2 相 加 得 信息 码 (明文 )11010。 这 种 密码 
结构 在 今天 看 起 来 非常 简单 ,但 由 于 这 种 密码 体制 第 一 次 使 加 密 由 原来 的 手工 操作 变 为 由 电子 
电路 实现 ,而 且 加 密 和 解密 可 以 直接 由 机 器 来 实现 ,因而 在 近代 密码 学 发 展 史 上 占有 重要 地 位 。 

1946 年 电子 计算 机 一 出 现 便 用 于 密码 破译 ,使 密码 进入 电子 时 代 。 

以 上 这 些 密码 的 研究 还 称 不 上 是 一 门 科学 。 直 到 1949 年 香农 发 表 了 一 篇 题 为 (保密 系 
统 的 通信 理论 ?的 著名 论文 ,该 文 首先 将 信息 论 引 入 了 密码 ,从 而 把 已 有 数 千年 历史 的 密码 
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学 推 向 了 科学 的 轨道 ,商定 了 密码 学 的 理论 基础 。 该 文 利用 数学 方法 对 信息 源 、 密 钥 源 、 接 
收 和 截获 的 密 文 进行 了 数学 描述 和 定量 分 析 , 提 出 了 通用 的 秘密 钥 密 码 体 制 模 型 。 将 密码 
置 于 坚实 的 数学 基础 之 上 ,标志 着 密码 学 作为 一 门 学 科 的 形成 。 

由 于 受 历史 的 局 限 ,20 世纪 70 年 代 中 期 以 前 的 密码 学 研究 基本 上 是 秘密 地 进行 ,而 且 
主要 应 用 于 军事 和 政府 部 门 。 密 码 学 的 真正 蓬勃 发 展 和 广泛 的 应 用 是 从 20 世纪 70 年 代 中 
期 开始 的 。 

在 密码 学 发 展 进程 中 的 另 一 件 值得 注意 的 事件 是 ,在 1976 年 ,美国 密码 学 家 W. Diffie 
和 M. Hellman 在 《密码 学 的 新 方向 一 文中 提出 了 一 个 如 新 的 思想 ,不 仅 加 密 算法 本 身 可 
以 公开 ,甚至 加 密 用 的 密 钥 也 可 以 公开 。 但 这 并 不 意味 着 保密 程度 的 降低 。 因 为 如 果 加 密 
密 钥 和 解密 密 钥 不 一 样 , 只 需 将 解密 密 钥 保密 就 可 以 。 这 就 是 著名 的 公 钥 密码 体制 。 若 存 
在 这 样 的 公 钥 体制 ,就 可 以 将 加 密 密 钥 像 电话 筹 一样 公开 ,任何 用 户 想 给 其 他 用 户 传送 加 密 
信息 时 ,就 可 以 从 这 本 密 钥 短 中 查 到 该 用 户 的 公开 密 钥 ,用 它 加密 ,而 接收 者 用 只 有 他 具有 
的 解密 密 钥 得 到 明文 。 任 何 第 三 者 不 能 获得 明文 。 

1978 年 ,由 美国 麻 省 理工 学 院 三 位 年 轻 的 数学 家 R. L. Rivest、 A. Shamir 和 L. 
Adleman 提出 了 RSA 公 角 密码 体制 ,并 以 三 人 名 字 的 首 字母 命名 。 它 是 第 一 个 成 熟 的 . 迄 
今 为 止 理论 上 最 成 功 的 公 钥 密码 体制 。 它 的 安全 性 是 基于 数论 中 的 大 整数 因子 分 解 。 该 问 
题 是 数论 中 的 一 个 困难 问题 ,至今 没 有 有 效 的 解决 算法 ,这 使 得 该 体制 具有 较 高 的 保密 性 。 

1977 年 美国 国家 标准 局 颁布 了 数据 加 密 标准 (data encryption standard,DES) ,用 于 非 国家 
保密 机 关 。 该 系统 完全 公开 了 加 密 .解密 算法 。 此 举 突破 了 早期 密码 学 的 信息 保密 的 单一 目 
的 ,使 得 密码 学 得 以 在 商业 等 民用 领域 广泛 应 用 ,从 而 给 这 门 学 科 以 巨大 的 生命 力 。DES 是 历 
史上 非常 著名 的 一 个 对 称 加 密 算 法 , 它 的 设计 充分 体现 了 香农 信息 保密 理论 所 阐述 的 设计 密 
码 的 思想 ,标志 着 密码 设计 与 分 析 达 到 了 新 的 水 平 。 在 颁布 之 后 使 用 了 近 20 年 ,是 密码 史上 
的 一 个 创举 。1998 年 底 ,美国 政府 宣布 不 再 支持 DES,DES 完成 了 其 历史 使 命 。 但 是 由 于 
DES 已 经 制 成 各 种 计算 机 软件 和 硬件 的 产品 并 且 广 泛 应 用 ,因此 DES 的 使 用 不 可 能 立刻 停止 。 

早 在 1984 年 ,美国 总 统 就 下 令 美国 保密 局 研制 一 种 新 密码 ,准备 取代 DES。 经 过 10 年 
的 研制 和 试用 ,1994 年 美国 颁布 了 密码 托管 加 密 标准 (escrowed encryption standard， 
EES) ,这 是 密码 史上 又 一 个 创举 。EES 的 密码 算法 被 设计 成 允许 法 律 监听 的 保密 方式 。 如 
此 设计 的 目的 在 于 既 要 保护 正常 的 商业 通信 秘密 ,又 要 在 法 律 部 门 允许 的 情况 下 进行 监听 ， 
以 阻止 不 法 分 子 利用 保密 通信 进行 犯罪 活动 。 而 且 EES 只 提供 芯片 ,不 公开 算法 。1995 
年 美国 贝尔 实验 室 的 M. Blaze 博士 攻击 EES 的 法 律 监督 字段 ,伪造 ID 获得 成 功 。 于 是 美 
国政 府 宣布 EES 只 用 于 语音 加 密 , 不 用 于 计算 机 数据 加 密 , 并 且 后 来 又 公开 了 算法 。 

1994 年 美国 颁布 了 数字 签名 标准 (digital signature standard,DSS) 。 数 字 签 名 就 是 数 
字形 式 的 签名 盖 章 ,是 确保 数据 真实 性 的 一 种 重要 措施 。 没 有 数字 签名 ,诸如 电子 政务 . 电 
子 金融 .电子 商务 等 系统 是 不 能 实际 使 用 的 。 由 于 美国 在 科学 技术 方面 的 领先 地 位 ,DSS 
实际 上 已 经 成 为 一 种 国际 标准 。 许 多 国家 的 标准 化 组 织 都 将 DSS 颁布 为 数字 签名 标准 。 

1997 年 美国 宣布 公开 征集 高 级 加 密 标 准 (advanced encryption standard,AES) ,以 取代 
1998 年 底 停止 使 用 的 DES。 经 过 三 轮 筛 选 , 最 终 在 2001 年 10 月 2 日 ,正式 宣布 选中 比 利 
时 密码 学 家 Joan Daemen 和 Vincent Rijmen 提出 的 名 为 Rijndael 的 算法 作为 AES 算法 。 
2001 年 11 月 26 日 ,正式 颁布 AES 为 美国 国家 标准 。2002 年 许多 国际 化 标准 组 织 都 采纳 
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AES 作为 其 标准 。 为 了 和 国际 接轨 ,我 国 也 在 某 些 商业 领域 采用 AES。 

随 着 密码 学 在 各 行 各 业 的 应 用 越 来 越 广泛 ,也 随 之 产生 一 些 需要 解决 的 问题 。 例 如 ,在 
密码 传输 过 程 , 由 于 所 要 处 理 的 数据 量 特别 大 ,往往 会 出 现 一 些 误差 ,这 当然 会 给 用 户 带 来 
一 定 的 麻烦 和 损失 。 正 是 社会 的 这 一 巨大 需求 促进 了 纠 错 码 理论 及 其 工程 应 用 的 迅速 发 
展 , 各 种 纠 错 编码 以 其 自动 纠正 或 检测 出 数据 传输 中 的 误差 这 一 特点 , 深 受 各 界 的 青睐 。 各 
种 功能 完备 的 纠 错 编码 已 在 实际 工程 中 得 到 广泛 的 应 用 。 

按照 人 们 对 密码 的 一 般 理解 ,密码 是 用 于 将 信息 加 密 而 不 易 破译 ,但 在 现代 密码 学 中 ， 
除了 信息 保密 外 ,还 有 另 一 方面 的 要 求 , 即 信息 安全 体制 还 要 能 抵抗 对 手 的 主动 攻击 。 所 谓 
主动 攻击 指 的 是 攻击 者 可 以 在 信息 通道 中 注入 他 自己 伪造 的 消息 ,以 骗取 合法 接收 者 的 相 
信 。 主 动 攻 击 还 可 能 算 改 信息 ,也 可 能 冒名 项 蔡 , 这 就 产生 了 现代 密码 学 中 的 认证 体制 。 该 
体制 的 目的 就 是 保证 用 户 收 到 一 个 信息 时 ,能 验证 消息 是 否 来 自 合 法 的 发 送 者 ,同时 还 能 验 
证 该 信息 是 否 被 算 改 过 。 

进入 21 世纪 ,各 种 新 领域 的 密码 学 研究 也 广泛 开展 。 随 着 量子 计算 机 研究 热潮 的 兴 
起 ,世界 各 国 对 量子 密码 的 研究 也 广泛 开展 。 量 子 密码 具有 可 证 明 的 安全 性 ,同时 还 能 对 窃 
听 行 为 方便 地 进行 检测 。 这 些 特性 使 得 量子 密码 具有 其 他 密码 所 没有 的 优势 ,因而 量子 密 
码 引 起 了 国际 密码 学 界 的 高 度 重 视 。 另 外 ,混沌 是 一 种 复杂 的 非 线性 非 平衡 动力 学 过 程 。 
由 于 混沌 序列 是 一 种 具有 良好 随机 性 的 非 线性 序列 ,有 可 能 构成 新 的 序列 密码 ,因此 世界 各 
国 的 密码 学 者 对 混沌 密码 寄予 了 很 大 的 期 望 。 还 有 生物 信息 技术 的 发 展 也 推动 着 生物 芯 
片 . 生 物 计算 机 和 基于 生物 信息 特征 的 生物 密码 的 研究 。 量 子 密 码 ,混沌 密码 .生物 密码 的 
出 现 将 把 我 们 带 入 一 个 新 的 密码 学 世界 。 

自古 以 来 ,密码 主要 用 于 军事 ,政治 ` 外 交 等 要 害 部 门 ,因此 密码 学 的 研究 工作 本 身 也 是 
秘密 进行 的 。 密 码 学 的 知识 和 经 验 也 主要 掌握 在 军事 、 政 治 、 外 交 等 保密 机 关 , 不 便 公开 发 
表 。 这 是 过 去 密码 学 的 书籍 资料 很 少 的 原因 。 

然而 由 于 计算 机 科学 技术 .通信 技术 、 微 电子 技术 的 发 展 ,使 得 计算 机 和 通信 网 络 的 应 
用 进入 了 人 们 的 日 常生 活 和 活动 中 ,出 现 了 电子 商务 .电子 政务 .电子 金融 等 必须 确保 信息 
安全 的 系统 ,使 民间 和 商业 界 对 信息 安全 保密 的 需求 大 大 增加 。 于 是 ,在 民间 产生 了 一 批 不 
从 属于 保密 机 关 的 密码 学 者 。 他 们 可 以 在 公开 刊物 上 发 表 文章 ,讨论 学 术 , 公 开 地 进行 密码 
研究 工作 。 密 码 学 的 研究 由 过 去 的 单纯 以 秘密 方式 进行 ,转向 公开 和 秘密 两 条 战线 同时 进 
行 。 实 践 证 明 , 正 是 这 种 公开 研究 和 秘密 研究 相 结合 的 局 面 促成 了 今天 密码 学 的 空前 繁荣 。 





22 密码 学 的 基本 概念 
在 密码 学 发 展 过 程 中 ,许多 不 同 的 密码 体制 和 实现 算法 不 断 被 提出 和 应 用 。 这 些 密码 体 
制 和 实现 算法 虽然 各 有 特色 ,但 在 密码 体制 的 基本 组 成 和 算法 设计 的 基本 原则 上 都 是 一 致 的 。 
1. 密码 体制 基本 组 成 


密码 技术 的 基本 思想 是 伪装 信息 。 伪 装 就 是 对 数据 施加 一 种 可 道 的 数学 变换 ,伪装 前 
的 数据 称 为 明文 ,伪装 后 的 数据 称 为 密 文 ,伪装 的 过 程 称 为 加 密 , 去 掉 伪 装 恢复 明文 的 过 程 
称 为 解密 。 加 密 和 解密 的 过 程 要 在 密 钥 的 控制 下 进行 。 
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研究 各 种 加 密 方 案 的 学 科 称 为 密码 编码 学 ,加 密 方 案 则 被 称 为 密码 体制 或 密码 。 研 究 
破译 密码 的 学 科 称 为 密码 分 析 学 。 密 码 分 析 学 和 密码 编码 学 统称 密码 学 。 

一 个 密码 系统 ,通常 简称 为 密码 体制 ,由 5 部 分 组 成 。 

(1) 明文 空间 (MD) : 全 体 明文 的 集合 。 

(2) 密 文 空间 (C) : 全 体 密 文 的 集合 。 

(3) 加 密 算法 (E): 一 组 由 M 到 C 的 加 密 变换 。 

(4) 解密 算法 (D): 一 组 由 C 到 M 的 解密 变换 。 

(5) 密 钥 空间 (K): 全 体 密 钥 的 集合 ,其 中 ,加 密 密 钥 用 K。 表示 ,解密 密 钥 用 Ks 表示 。 

加 密 就 是 明文 在 密 钥 和 加 密 算法 的 共同 作用 下 生成 密 文 的 过 程 : C=E(M,K.)。 

信息 加 密 传输 的 过 程 如 图 2-1 所 示 。 
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图 2-1 信息 加 密 传输 


需要 特别 注意 的 是 ,数据 安全 基于 密 钥 而 不 是 算法 的 保密 。 也 就 是 说 ,对 于 一 个 密码 体 
制 ,其 算法 是 可 以 公开 的 ,让 所 有 人 来 使 用 研究 。 但 具体 对 于 某 次 加 密 过 程 中 所 使 用 的 密 
钥 , 则 是 保密 的 。 初 学 者 对 于 密 钥 的 概念 可 能 比较 模糊 。 如 果 把 加 密 和 解密 算法 看 作 一 个 
函数 , 则 密 钥 就 类 似 于 函数 中 参数 的 具体 取 值 。 函 数 的 类 型 .计算 方式 可 以 公开 ,但 具体 加 
密 时 所 使 用 的 参数 则 是 保密 的 。 

例如 ,加 密 算法 为 了 Y 一 acX 十 0, 其 中 ,X 为 明文 ,计算 后 Y 成 为 密 文 。 在 具体 加 密 过 程 
中 ,a,b。 的 取 值 为 密 钥 ,假设 为 (2,3), 明 文 为 2, 则 密 文 计算 后 为 7。 在 这 个 过 程 中 ,Y= 
aX 十 b 可 以 公开 ,但 具体 4 二 2,b 二 3 的 取 值 不 公开 。 所 以 即使 对 方 知道 了 采用 的 加 密 算法 ， 
由 于 不 知道 具体 参数 取 值 ,也 无 法 根据 密 文 计 算出 明文 。 


2. 算法 设计 的 公开 原则 


密码 的 设计 应 当 遵循 公开 设计 原则 , 千 万 不 要 把 密码 的 安全 建立 在 对 手 的 无 知之 上 。 
只 有 在 假设 对 手 对 密码 算法 有 充分 的 研究 并 且 拥 有 足够 的 计算 资源 的 情况 下 仍然 安全 的 密 
码 才 是 真正 安全 的 。 

算法 公开 就 要 求 算法 设计 的 完备 .没有 缺陷 ,否则 分 析 者 可 以 通过 研究 算法 的 弱点 来 分 
析出 密 钥 ,甚至 解 出 明文 。 例 如 ,刚才 举 的 例子 ,Y 二 aX 十 b, 就 属于 一 个 设计 有 缺陷 的 算法 ， 
分 析 者 只 要 得 到 两 组 明文 和 其 所 对 应 的 密 文 ,就 很 容易 计算 出 密 钥 < 的 取 值 ,从 而 分 析出 
所 有 的 密 文 。 

例如 ,美国 在 20 世纪 70 年 代 制 定 的 DES 采用 公开 征集 .公开 评价 的 原则 ,实践 证 明 
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DES 是 安全 的 。20 世纪 80 年 代 制 定 的 EES, 采 用 内 部 设计 ,只 提供 芯片 不 公开 算法 的 原 
则 ,结果 发 现 有 安全 缺陷 。 

20 世纪 90 年 代 制 定 的 AES, 又 采用 在 全 世界 范围 的 公开 征集 公开 评价 的 原则 ,因此 
可 以 预计 AES 是 安全 的 。 美 国 在 商业 密码 政策 上 走 过 的 从 公开 到 封闭 再 到 公开 的 技术 路 
线 , 从 实践 角度 证 明了 密码 的 公开 设计 原则 的 正确 性 。 

密码 设计 的 公开 原则 并 不 等 于 所 有 的 密码 在 应 用 时 都 要 公开 加 密 算法 。 世 界 各 国 的 军 
政 核心 密码 都 不 公开 其 加 密 算法 。 世 界 各 主要 国家 都 有 强大 的 专业 密码 设计 与 分 析 队 伍 ， 
他 们 仍然 坚持 密码 的 公开 设计 原则 ,在 内 部 进行 充分 的 分 析 , 只 是 对 外 不 公开 而 已 。 在 公开 
设计 原则 下 是 安全 的 密码 ,在 实际 使 用 时 对 算法 保密 ,将 会 更 安全 。 这 是 核心 密码 的 设计 和 
使 用 的 正确 路 线 。 对 于 商业 密码 应 当 坚 持 在 专业 部 门 指导 下 的 公开 征集 .公开 评价 的 原则 。 

著名 密码 学 家 Bruce Schneier 在 他 的 《应 用 密码 学 ) 一 书 中 指出 “那些 因为 自己 不 能 破 
译 某 个 算法 就 草率 地 声称 有 一 个 不 可 破译 的 密码 的 人 要 么 是 天 才 , 要 么 是 笨蛋 ,不幸 的 是 后 
者 居多 。 千 万 要 提防 那些 一 味 吹 咕 算 法 的 优点 ,但 拒绝 公开 的 人 ,相信 他 们 的 算法 就 像 相 信 
骗 人 的 包 治 百 病 的 灵丹妙药 一 样 ”。 

另外 ,算法 公开 能 够 使 各 种 加 密 部 件 标准 化 ,使 通信 过 程 便利 。 例 如 ,DES 在 20 世纪 作为 
联邦 加 密 标准 ,很 多 软件 甚至 硬件 采用 其 算法 ,使 之 标准 化 ,大 大 简化 了 通信 过 程 ,降低 了 成 本 。 


23 密码 系统 的 分 类 


根据 不 同 的 分 类 标准 ,密码 系统 有 以 下 3 种 常用 的 分 类 。 
1. 根据 密 钥 的 使 用 方式 分 类 


密码 体制 根据 密 钥 的 使 用 方式 不 同 , 可 分 为 对 称 密码 体制 (也 称 为 传统 密码 体制 ) 和 非 
对 称 密码 体制 (也 称 为 公 钥 密码 体制 ) 。 

1) 对 称 密码 体制 

所 谓 对 称 密码 体制 就 是 用 于 加 密 数 据 的 密 钥 和 用 于 解密 数据 的 密 钥 相 同 ,或 两 者 之 间 
存在 着 某 种 明确 的 数学 关系 。 绝 大 多 数 的 对 称 加 密 算 法 加 密 密 钥 和 解密 密 钥 都 是 相同 的 。 
对 称 加 密 算 法 要 求 通信 双方 在 建立 安全 信道 之 前 ,约定 好 所 使 用 的 密 钥 。 对 于 好 的 对 称 加 
密 算 法 ,其 安全 性 完全 决定 于 密 钥 的 安全 ,算法 本 身 是 可 以 公开 的 ,因此 一 旦 密 钥 泄露 就 等 
于 泄露 了 被 加 密 的 信息 。 对 称 算 法 是 传统 常用 的 算法 ,最 广泛 使 用 的 是 DES 算法 。 

对 称 密码 体制 的 加 密 和 解密 表示 为 

加 密 : EkCM) 一 C。 

解密 : Dk(C) 一 M, 其 中 天 是 密 钥 。 

对 称 密码 体制 分 为 两 类 。 一 次 只 对 明文 中 的 单个 位 或 字 节 加 密 称 为 序列 密码 或 流 密 
码 。 另 一 类 对 称 密码 是 对 明文 的 一 组 位 进行 加 密 , 这 些 位 组 称 为 分 组 (block) ,这 种 方式 叫 
作 分 组 密码 。 

2) 非 对 称 加 密 体 制 

非 对 称 加 密 算 法 是 指 用 于 加 密 的 密 钥 与 用 于 解密 的 密 钥 是 不 同 的 ,而 且 从 加 密 的 密 钥 
无 法 推导 出 解密 的 密 钥 。 这 类 算法 之 所 以 被 称 为 公 钥 算法 是 因为 用 于 加 密 的 密 钥 是 可 以 广 
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泛 公开 的 ,任何 人 都 可 以 得 到 加 密 密 钥 并 用 来 加 密 信息 ,但 是 只 有 拥有 对 应 解密 密 钥 的 人 才 
能 将 信息 解密 。 

在 公 钥 体制 中 ,加 密 密 钥 不 同 于 解密 密 钥 ,将 加 密 密 钥 公之于众 , 谁 都 可 以 使 用 ; 而 解 
密 密 钥 只 有 人 解密 人 自己 知道 。 这 里 ,加密 密 钥 称 为 公开 密 钥 (public key, 简 称 公 钥 ) ,解密 密 
钥 称 为 私人 密 钥 (private key) ,简称 私 钥 。 

用 公 钥 KP 对 明文 加 密 可 表示 为 Erp (MD) 二 C 

用 相应 的 私 钥 PK 对 密 文 解密 可 表示 为 Dpk (C) 一 M 

有 时 消息 用 私 钥 加 密 而 用 公 钥 解密 ,这 用 于 数字 签名 。 

迄今 为 止 的 所 有 公 钥 密码 体系 中 ,RSA 系统 是 最 著名 、 使 用 最 广泛 的 一 种 。 


2. 根据 明文 和 密 文 的 处 理 方式 分 类 


根据 对 明文 和 密 文 的 处 理 方式 和 密 钥 的 使 用 不 同 , 可 将 密码 体制 分 成 分 组 密码 和 序列 
密码 体制 。 

1) 分 组 密码 (block cipher) 

设 M 为 明文 ,分 组 密码 将 M 划分 为 一 系列 明文 块 Mi ,通常 每 块 包含 若干 字符 ,并 且 对 
每 一 块 M; 都 用 同一 个 密 钥 K。 进行 加 密 。 即 

M= (Mi ,M2,*,M,),C= (Ci ,CC,) ,其 中 C;=E(M;,K.),i=1,2,°,n 

现代 计算 机 密码 算法 的 典型 分 组 长 度 为 64 位 ,这 个 长 度 大 到 足以 防止 分 析 破译 ,但 又 
小 到 足以 方便 使 用 。 

2) 序列 密码 (stream cipher) 

将 明文 和 密 钥 都 划分 为 位 (bit,b) 或 字符 的 序列 ,并 且 对 明文 序列 中 的 每 一 位 或 字符 都 
用 密 钥 序列 中 对 应 的 分 量 来 加 密 , 即 

M 一 (mma ma) ,天 。 一 (Ra Re Row) C 一 (CC ,C) ,其 中 C 一 已 (os Re)， 
i=1,2,°" nn 

分 组 密码 每 次 加 密 一 个 明文 块 ,序列 密码 每 次 加 密 一 个 位 或 一 个 字符 。 在 计算 机 出 现 
之 前 ,算法 普遍 每 次 只 对 明文 的 一 个 字符 运算 ,可 以 认为 是 序列 密码 对 字符 序列 的 运算 。 


3. 根据 加 密 算法 是 否 变 化 分 类 


根据 加 密 算 法 在 使 用 过 程 中 是 否 变化 ,可 将 密码 体制 分 成 固定 算法 密码 体制 和 变化 算 
法 密码 体制 。 

1) 固定 算法 密码 体制 

设 巨 为 加 密 算 法 , Ko ,Ki,…,K, 为 密 钥 ,Mo ,Mi,…,M, 为 明文 ,C 为 密 文 ,如 果 把 明 
文 加 密 成 密 文 的 过 程 中 加 密 算法 固定 不 变 , 则 称 其 为 固定 算法 密码 体制 。 

Co = ECM, ,Ko) ,CC = ECOM ,Ki),**,C, = EC(M,,K,) 

2) 变化 算法 密码 体制 

设 玉 为 加 密 算法 ,Ko ,Ki,…,K, 为 密 钥 ,Mo ,Mi,…,M, 为 明文 ,C 为 密 文 ,如 果 把 明 
文 加 密 成 密 文 的 过 程 中 加 密 算法 不 断 变 化 , 则 称 其 为 变化 算法 密码 体制 。 

Cu = Eo (Mo ,Ko ,Ci = Ei (Mi ,Ki),*,C, = E,(M,,K,) 
由 于 加 密 算法 在 加 密 过 程 中 可 受 密 钥 控制 不 断 变 化 , 则 可 以 极 大 提高 密码 的 强度 , 若 能 
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使 加 密 算法 朝 着 越 来 越 好 的 方向 演化 , 那 密码 就 成 为 一 种 自发 展 的 、 渐 强 的 密码 , 称 为 演化 
密码 。 


24 密码 分 析 


如 果 能 够 根据 对 密 文 的 分 析 确 定 明文 或 密 钥 , 或 能 够 根据 明文 - 密 文 对 确定 密 钥 , 则 说 
这 个 密码 是 可 破译 的 。 破 译 过 程 称 为 密码 分 析 。 
攻击 密码 体制 一 般 有 两 种 方法 : 密码 分 析 和 穷 举 攻击 。 


1. 密码 分 析 


这 种 攻击 依赖 于 算法 的 性 质 和 明文 的 一 般 特征 或 某 些 明文 - 密 文 对 。 企 图 利用 算法 的 
特征 推导 明文 或 使 用 的 密 钥 。 如 果 这 种 攻击 能 成 功 地 推导 出 密 钥 , 那 么 影响 则 是 灾难 性 的 ， 
将 会 危及 所 有 使 用 该 密 钥 加 密 消息 的 安全 。 对 称 密码 体制 的 所 有 分 析 方 法 都 利用 了 这 样 一 
种 情况 : 明文 的 结构 和 模式 在 加 密 之 后 仍然 保存 ,并 能 在 密 文 中 找到 线索 。 

对 公开 密 钥 加 密 体制 的 分 析 则 是 一 个 完全 不 同 的 体系 ,通常 称 之 为 数学 分 析 攻 击 。 密 
码 分 析 者 针对 加 解密 算法 的 数学 基础 和 某 些 密码 学 特性 ,通过 数学 求解 的 方法 来 破译 密码 。 
数学 分 析 攻 击 是 对 基于 数学 难题 的 各 种 公开 密 钥 加 密 体 制 的 主要 威胁 。 为 了 对 抗 这 种 数学 
分 析 攻 击 ,应 当选 用 具有 坚实 数学 基础 和 足够 复杂 的 加 解密 算法 。 


2. 穷 举 攻击 

穷 举 攻击 指 攻击 者 对 一 条 密 文 尝试 所 有 可 能 的 密 钥 ,直到 把 密 文 转化 成 为 可 读 的 有 意 
义 的 明文 。 平 均 而 言 ,获得 成 功 至 少 要 尝试 所 有 可 能 密 钥 的 一 半 。 
241 密码 分 析 学 


密码 分 析 学 是 在 不 知道 密 钥 的 情况 下 ,恢复 出 明文 的 一 门 科学 。 成 功 的 密码 分 析 能 恢 
复出 消息 的 明文 或 密 钥 。 密 码 分 析 也 可 以 发 现 密码 体制 的 弱点 ,最 终 得 到 明文 或 密 钥 。 对 
密码 进行 分 析 的 尝试 称 为 攻击 (attack) 。 

假设 攻击 者 是 在 已 知 密码 体制 (已 知 加 密 算 法 ) 的 前 提 下 来 破译 使 用 的 密 钥 ,根据 攻击 
者 掌握 的 资源 不 同 ,最 常见 的 攻击 形式 如 下 。 


1. 唯 密 文 攻击 (ciphertext only) 


密码 分 析 者 仅 根据 截获 的 密 文 破译 密码 。 巾 于 密码 分 析 者 所 能 利用 的 数据 资源 仅 为 密 
文 ,这 是 对 分 析 者 最 不 利 的 情况 。 

2. 已 知 明文 攻击 (known plaintext) 

分 析 者 根据 已 经 知道 的 某 些 明文 - 密 文 对 破译 密码 。 例 如 ,密码 分 析 者 可 能 知道 从 用 户 


终端 送 到 计算 机 的 密 文 数据 以 “LOGIN” 开 头 。 又 如 , END、IF、THEN 等 词 的 密 文 有 规律 
地 在 密 文中 出 现 , 密 码 分 析 者 可 以 合理 地 猜测 它们 。 近 代 密 码 学 认为 ,一 个 密码 仅 当 它 能 经 
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得 起 已 知 明文 攻击 才 是 可 取 的 。 
3. 选择 明文 攻击 (chosen plaintext) 


选择 明文 攻击 的 破译 者 除了 知道 加 密 算 法 外 ,还 可 以 选 定 明文 消息 ,并 可 以 知道 对 应 的 
通过 加 密 得 到 的 密 文 , 即 知道 选择 的 明文 和 对 应 的 密 文 。 例 如 , 公 钥 密码 体制 中 ,攻击 者 可 
以 利用 公 钥 加 密 他 任意 选 定 的 明文 ,这 种 攻击 就 是 选择 明文 攻击 。 这 是 对 分 析 者 十 分 有 利 
的 情况 。 计 算 机 文件 系统 和 数据 库 系统 特别 容易 受到 这 种 攻击 ,因为 用 户 可 以 随意 选择 明 
文 , 并 获得 相应 的 密 文 文件 和 密 文 数据 库 。 


4. 选择 密 文 攻击 (chosen ciphertext) 


与 选择 明文 攻击 相对 应 ,破译 者 除了 知道 加 密 算法 外 ,还 知道 自己 选 定 的 密 文 和 对 应 
的 .已 解密 的 明文 , 即 知 道 选择 的 密 文 和 对 应 的 明文 。 

在 这 些 攻击 方法 中 , 唯 密 文 攻击 难度 最 大 ,因为 攻击 者 拥有 的 信息 量 最 少 。 不 过 在 很 多 
情况 下 ,攻击 者 可 以 得 到 更 多 的 信息 ,如 电子 金融 消息 往往 有 标准 化 的 文件 头 或 标志 ,这 样 
就 使 其 转化 成 了 已 知 明文 攻击 。 

如 果 分 析 者 能 够 通过 某 种 方式 ,让 发 送 方 在 发 送 的 信息 中 插入 一 段 由 他 选择 的 信息 , 那 
么 就 成 了 选择 明文 攻击 ,他 一 般 会 故意 选取 那些 最 有 可 能 恢复 出 密 钥 的 数据 。 

只 有 相对 较 弱 的 算法 才 抵挡 不 住 唯 密 文 攻击 。 一 般 来 说 ,加 密 算法 起 码 要 能 经 受 得 住 
已 知 明文 攻击 。 

另外 还 有 一 个 概念 值得 注意 。 如 果 无 论 有 和 多少 可 以 使 用 的 密 文 ,都 不 足以 唯一 地 确定 
在 该 体制 下 的 密 文 所 对 应 的 明文 , 则 此 加 密 体制 是 无 条 件 安 全 的 。 一 次 一 密 (one-time pad) 
可 以 满足 无 条 件 安全 。 一 次 一 密 用 一 组 完全 无 序 的 数字 对 消息 进行 编码 ,而 且 只 使 用 一 次 。 
例如 ,明文 为 HELP, 每 个 字母 对 应 一 个 随机 的 数字 , 且 相 同 字母 对 应 的 数字 不 重复 , 密 文 假 
设 为 2 5 9 20, 这 种 算法 的 密 钥 为 字母 序列 对 应 随机 数字 序列 ,这 种 序列 至 少 和 密 文 一 样 
长 ,在 不 知道 序列 的 情况 下 ,无论 取 得 多 少 密 文 ,都 无 法 破解 出 相应 的 明文 ,属于 无 条 件 安 
全 。 但 由 于 这 种 加 密 方式 的 密 钥 序列 至 少 和 密 文 一 样 长 ,安全 传递 密 钥 本 身 的 复杂 性 就 相 
当 于 甚至 高 于 传递 消息 本 身 , 所 以 一 次 一 密 并 没有 多 少 实用 价值 。 

除了 一 次 一 密 之 外 ,所 有 的 算法 都 不 是 无 条 件 安全 的 ,也 就 是 说 ,在 理论 上 是 可 能 被 攻 
破 的 。 因 此 ,加 密 算 法 应 该 至 少 满足 下 面 的 两 个 条 件 之 一 : 

(1) 破译 密码 的 代价 超出 密 文 信息 的 价值 。 那 么 对 于 破解 密码 的 人 来 说 ,这 么 做 是 没 
有 意义 的 。 

(2) 破译 密码 的 时 间 超 出 密 文 信息 的 有 效 期 。 当 密码 被 破解 时 ,明文 实际 上 已 经 丧失 
了 使 用 价值 。 

满足 上 述 两 个 条 件 之 一 的 密码 体制 被 称 为 在 计算 上 是 安全 的 。 


242 穷 举 攻击 


试 遍 所 有 密 钥 直 到 有 一 个 正确 的 密 钥 能 够 把 密 文 还 原 成 明文 ,这 就 是 穷 举 攻击 。 一 般 
来 说 ,要 获取 成 功 必须 尝试 所 有 可 能 密 钥 的 一 半 。 
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无 论 对 于 多 么 优秀 的 密码 算法 ,都 必须 要 考虑 到 穷 举 攻击 的 威胁 。 假设 , 密 钥 只 有 1 个 
bit, 那 么 密 钥 只 能 是 0 或 1, 攻 击 者 只 需要 尝试 2 次 就 可 以 找到 正确 的 密 钥 (甚至 只 需要 一 
次 )。 当 密 钥 为 2 位 的 时 候 , 攻 击 者 需要 尝试 4 次 , 当 密 钥 增 加 到 64 位 时 ,攻击 者 需要 尝试 
2% 次 才能 把 所 有 的 密 钥 都 尝试 一 遍 。 以 DES 加 密 算法 为 例 , 它 的 密 钥 为 56 位 , 则 其 密 钥 个 
数 为 于 个 ,假设 执行 一 次 加 解密 需要 1ps 的 话 ( 这 是 普通 计算 机 的 速度 ) , 则 穷 举 密 钥 空间 
的 一 半 需 要 2”js 二 1142 年 。 不 过 用 大 型 机 器 来 穷 举 的 话 , 例 如 使 用 每 微 秒 执行 100 万 次 加 
密 的 计算 机 ,那么 只 需要 10 小 时 。 对 于 今天 的 对 称 密 钥 加 密 算法 来 说 ,为 了 抵御 穷 举 攻击 ， 
密 钥 的 位 数 至 少 为 128 位 , 表 2-1 所 示 为 穷 举 一 半 密 钥 空间 所 需 的 时 间 。 

表 2-1 穷 举 一 半 密 钥 空间 所 需 的 时 间 





每 微 秒 执行 一 次 加 密 每 微 秒 执行 100 万 
知人 并 /和 ds 所 需 时 间 次 加 密 所 需 时 间 
32 约 36 分 钟 2. 147 毫秒 
56 1142 年 10 小 时 
128 5.4X10* 年 5.4X108 年 
168 wt 5.9X105 年 5.9X10” 年 
26 个 字符 的 排列 组 合 261! 6.4X10" 年 6.4X10 年 


另外 值得 注意 的 是 ,计算 机 网 络 的 广泛 应 用 ,特别 是 Internet 的 广泛 应 用 ,可 以 把 全 世 
界 的 计算 机 资源 连 成 一 体 ,形成 巨大 的 计算 能 力 , 从 而 拥有 巨大 的 密码 破译 能 力 , 使 原来 认 
为 安全 的 密码 被 破译 。1994 年 ,40 多 个 国家 的 600 多 位 科学 家 通过 Internet, 历 时 9 个 月 
破译 了 RSA-129 密码 ,1999 年 又 破译 了 RSA-140 密码 ,2005 年 ,RSA-200 也 被 成 功 破译 。 

1997 年 6 月 18 日 美国 科罗拉多 州 以 Rocke Verser 为 首 的 工作 小 组 宣布 ,通过 利用 
Internet 上 的 数 万 台 微 机 ,历时 4 个 多 月 ,通过 穷 举 破译 了 DES。 因 此 ,在 21 世纪 ,只 有 经 
得 起 通过 因特网 进行 全 球 攻 击 的 密码 , 才 是 安全 的 密码 。 


25 经 典 密码 学 


经 典 密码 体制 (或 称 古 典 密码 体制 ) 采 用 手工 或 机 械 操作 实现 加 解密 ,相对 简单 。 回 顾 
和 研究 这 些 密码 体制 的 原理 和 技术 ,对 于 理解 ,设计 和 分 析 现 代 密码 仍然 有 借鉴 意义 。 

在 计算 机 出 现 前 ,密码 学 由 基于 字符 的 密码 算法 构成 。 不 同 的 密码 算法 是 字符 之 间 互 
相 代 换 或 互相 之 间 换 位 ,好 的 密码 算法 是 结合 这 两 种 方法 ,每 次 进行 多 次 运算 。 

大 多 数 经 典 加 密 早 在 计算 机 普及 之 前 就 已 经 被 开发 出 来 了 ,一 些 加 密 方法 现在 还 被 密 
码 爱好 者 所 使 用 。 广 义 地 说 ,经 典 密码 学 可 定义 为 不 要 求 用 计算 机 实现 的 所 有 加 密 算法 。 
这 并 不 是 说 它 不 能 在 计算 机 上 实现 ,而 是 因为 人 们 可 以 手工 加 密 和 解密 文字 ,在 计算 机 出 现 
后 ,由 于 计算 机 运算 的 速度 远 远 高 于 手工 计算 速度 ,所 有 经 典 密码 算法 能 够 被 计算 机 很 容易 
地 破解 。 

目前 任何 重要 的 应 用 程序 ,都 不 推荐 使 用 这 些 经 典 加 密 算法 。 不 过 ,通过 对 这 些 算法 的 
本 质 及 其 特点 进行 研究 ,可 以 更 好 地 理解 现代 加 密 算法 ,因为 这 些 经 典 加 密 以 一 种 很 简单 的 
方式 阐述 了 那些 促进 当前 密码 学 发 展 的 概念 。 





20 信息 安全 原理 及 应 用 (第 3 版 ) 





经 典 密码 采用 的 两 种 基本 的 技术 ,分 别 为 代 换 技术 和 置换 技术 。 事 实 上 现代 加 密 算法 
大 多 是 综合 应 用 这 两 种 技术 来 实现 的 ,但 基于 的 数学 基础 更 加 复杂 。 

代 换 是 将 明文 字母 替换 成 其 他 字母 ,数字 或 符号 的 方法 。 在 经 典 密码 学 中 ,有 4 种 类 型 
的 代 换 密码 : 

(1) 简单 代 换 密码 (或 称 单字 母 密 码 ) : 就 是 将 明文 的 一 个 字符 用 相应 的 一 个 密 文 字符 
代替 。 

(2) 多 名 码 代 换 密码 : 与 简单 代 换 密码 系统 相似 ,唯一 的 不 同 是 单个 字符 明文 可 以 映 
射 成 密 文 的 几 个 字符 之 一 ,如 A 可 能 对 应 于 5、13、25 或 56,B 可 能 对 应 于 7、19、31 或 
42 等 。 

(3) 字母 代 换 密码 : 字符 块 被 成 组 加 密 , 如 ABA 可 能 对 应 于 RTQ,ABB 可 能 对 应 于 
SLL 等 。 

(4) 多 表 代 换 密码 : 由 多 个 简单 的 代 换 密码 构成 ,如 可 能 有 5 个 被 使 用 的 不 同 的 简单 代 
替 密 码 ,单独 的 一 个 字符 用 来 改变 明文 的 每 个 字符 的 位 置 。 

置换 技术 中 ,明文 的 字母 保持 相同 ,但 顺序 被 打 乱 了 。 在 简单 的 纵 行 换 位 密码 中 ,明文 
以 固定 的 宽度 水 平地 写 在 一 张 图 表 纸 上 , 密 文 按 垂 直方 向 读 出 ,解密 就 是 将 密 文 按 相 同 的 宽 
度 垂直 地 写 在 图 表 纸 上 ,然后 水 平地 读 出 明文 。 


251 代 换 密码 


代 换 密码 是 将 明文 字母 替换 成 其 他 字母 ,数字 或 符号 。 如 果 把 明文 看 作 是 二 进 制 序列 ， 
那么 代 换 就 是 用 密 文 位 串 来 代 换 明文 位 串 。 


1. 恺 撤 密 码 


已 知 的 最 早 的 代 换 密码 是 由 Julius Caesar 发 明 的 已 撤 (Caesar) 密 码 。 他 对 字母 表 中 的 
每 个 字母 ,用 它 之 后 的 第 三 个 字母 代 换 ,如 对 “ 明 晨 五 点 发 动 反攻 ?进行 加 密 ; 
明文 : MING CHEN WU DIAN FA DONG FAN GONG 
密 文 : PLQJ FKHQ ZX GLDQ ID GRQJ IDQ JRQJ 
字母 表 循环 表示 : 
明文 :abcdefghijklmnopqrstuvwxyz 
密 文 :DEFGHIJKLMNOPQRSTUVWXYZABC 
如 果 让 每 个 字母 等 价 于 一 个 数值 
a=0,6= 1,%,z = 25 
则 加 密 公 式 为 
C= E(p) = (p+3) mod (26) 
如 果 移 位 可 以 是 任意 整数 &, 则 更 加 通用 的 算法 如 下 : 
加 密 : C=E(p)==(p+k) mod (26) 
解密 : p= 二 D(C)=(C—k) mod (26) 
用 穷 举 分 析 可 轻松 破解 恺 撤 密 码 ,原因 有 三 : 一 是 加 密 和 解密 算法 已 知 ; 二 是 密 钥 只 
有 25 种 可 能 的 取 值 ; 三 是 明文 所 用 的 语言 是 已 知 的 ,意义 容易 识别 。 
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在 大 多 数 网 络 情况 下 ,假设 密码 算法 是 已 知 的 。 一 般 说 来 , 密 钥 空间 很 大 的 算法 使 得 穷 
举 攻 击 分 析 方 法 不 太 可 行 。 因 此 ,为 了 提高 穷 举 分 析 的 难度 , 密 钥 空 间 必 须 很 大 。 例 如 目前 
认为 安全 的 对 称 加 密 算法 的 密 钥 空间 至 少 有 2 一。 第 三 个 原因 也 是 需要 注意 的 ,如 果 明 文 
所 用 的 语言 不 为 破解 者 所 知 ,那么 明文 输出 就 不 可 识别 。 


2. 单 表 代 换 密码 


恺 撤 密 码 仅 有 25 种 可 能 的 密 钥 ,是 很 不 安全 的 ,如 果 人 允许 任意 代 换 , 密 钥 空间 将 会 急剧 
增 夫 ; 

如 果 密 文 行 是 26 个 字母 的 任意 置换 。 例 如 ,明文 a 用 c 代 换 ,b 用 剩 下 的 25 个 字母 中 
随机 的 一 个 代 换 ,c 用 剩 下 的 24 个 字母 中 随机 的 一 个 代 换 …… 依 此 类 推 。 这 样 , 密 钥 空间 
为 261, 约 4X10” 种 可 能 的 密 钥 。 这 么 大 的 密 钥 空间 应 该 可 以 抵挡 穷 举 攻击 。 这 种 方法 称 
为 单 表 代 换 密码 ,这 是 因为 每 条 消息 用 一 个 字母 表 ( 给 出 从 明文 字母 到 密 文字 母 的 映射 ) 
加 密 。 

不 过 ,攻击 办 法 仍然 存在 。 如 果 密 码 分 析 者 知道 明文 (如 未 经 压缩 的 英文 文本 ) 的 属性 ， 
他 就 可 以 利用 语言 的 一 些 规 律 进行 攻击 。 

例如 ,这 里 有 段 密 文 : 

UZQSOVUOHXMOPVGPOZPEVSGZWSZOPFPESXUDBMETSXAIZ 
VUEPHZHMDZSHZQWSFPAPPDTSVPQUZWYMXUZUHSX 
EPYEPOPPZSZUFPOMBZWPFUPZHMDJUDTMOHMQ 
把 密 文 中 字母 使 用 的 相对 频率 统计 出 来 ,与 英文 字母 的 使 用 频率 分 布 ( 如 表 2-2 所 示 ) 进 行 
比较 。 


表 2-2 英文 字母 的 使 用 频率 分 布 


0.0856 
0.0139 
0. 0279 
0.0378 
0.1304 
0.0289 


mm Po 可 ph 





如 果 消 息 足 够 长 ,只 用 这 种 方法 就 足够 了 ,如 果 消 息 相 对 较 短 ,还 可 以 用 到 一 些 统计 
规律 : 

(1) 英文 单词 以 E、S.D、T 为 结尾 的 超过 一 半 。 

(2) 英文 单词 以 T、A、S、W 为 起 始 字 母 的 约 为 一 半 。 

(3) 一 般 来 说 3 个 字母 出 现 的 可 能 是 THE 或 AND。 

(4) 单个 字母 出 现 的 可 能 是 A 或 I。 

(5) 最 常见 的 两 字母 组 合 ,依照 出 现 次 数 递 减 的 顺序 排列 : TH .HE IN、ER、AN RE、 
DE.ON .ES.ST.EN.AT.TO.NT.HA.ND.OU.EA.NG.,AS.OR.TI.IS.ET.IT.AR. 
TE.SE、HI.OF. 

(6) 最 常见 的 三 字母 组 合 ,依照 出 现 次 数 递减 的 顺序 排列 : THE、ING、AND、 HER、 
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ERE.ENT.THA.NTH.WAS.ETH .FOR.DTH., 

应 用 这 些 统计 规律 经 过 分 析 , 得 到 的 明文 是 

It was disclosed yesterday that several informal but direct contacts have been made 
with political representatives of the viet cong in Moscow 

单 表 代 换 技术 之 所 以 容易 采用 统计 学 的 方法 攻破 ,关键 就 在 于 在 单 表 代 换 中 ,明文 中 的 
任何 一 个 字母 都 只 有 一 个 密 文 字母 来 代 换 。 如 果 要 实现 抗 统计 分 析 , 可 以 对 每 个 字母 提供 
多 种 代 换 ,就 像 一 个 读音 可 以 代表 多 个 同音 字 一 样 ,一 个 明文 单元 也 可 以 变换 成 不 同 的 密 文 
单元 。 例 如 ,字母 e, 时 而 用 字母 A 来 代 换 ,时 而 用 字母 X 来 代 换 等 。 循 环 或 随机 地 选取 密 
文字 母 来 代 换 明文 字母 。 如 果 对 每 个 明文 元 素 分 配 的 密 文 元 素 的 个 数 与 此 明文 元 素 的 使 用 
频率 成 一 定 比例 关系 ,那么 使 用 的 频率 信息 就 完全 被 隐藏 了 。 但 这 种 方法 只 能 隐藏 明文 中 
一 个 元 素 的 频率 ,多 字母 语法 模式 仍然 残留 在 密 文中 ,这 样 就 降低 了 密码 分 析 者 破译 的 
难度 。 

代 换 密码 必须 考虑 的 一 个 问题 是 ,明文 的 语法 模式 和 结构 有 多 少 仍 然 保 存在 密 文 中 。 
有 两 种 基本 方法 可 以 减少 残留 : 一 种 是 对 明文 中 的 多 个 字母 一 起 加 密 ; 另 一 种 是 采用 多 表 
代 换 密码 。 


3. 多 表 代 换 密码 


改进 简单 的 单 表 代 换 的 方法 是 在 明文 消息 中 采用 不 同 的 单 表 代 换 。 这 样 , 密 文中 的 每 
个 字母 都 有 多 个 可 能 的 密 文字 母 来 代 换 它 , 这 种 方法 一 般 称 为 多 表 代 换 密码 , 它 通常 采用 相 
关 的 单 表 代 换 规则 集 ,并 由 密 钥 决定 给 定 变 换 的 具体 规则 。 著 名 的 多 表 代 换 密码 有 
Playfair 密码 .Hill 密码 、Vigenere 密码 等 。 

1) Playfair 密码 

Playfair 密码 由 英国 科学 家 Charles Wheatstone 于 1854 年 发 明 , 以 其 好 友 Baron 
Playfair 的 名 字 命 名 。 在 第 一 次 世界 大 战 中 , 英 军 曾 使 用 Playfair 密码 作为 陆军 的 标准 加 密 
体制 。 在 第 二 次 世界 大 战 中 , 盟 军 使 用 它 作 为 通信 加 密 工 具 。 

Playfair 把 明文 中 的 双 字母 音节 作为 一 个 单元 并 将 其 转换 成 为 密 文 的 “ 双 字 母音 节 ”。 
它 基 于 一 个 由 密 钥 词 构成 的 5X5 字母 矩阵 。 

例如 ,使 用 密 钥 词 是 monarchy。 填 充 矩 阵 的 方法 是 ,首先 将 密 钥 词 从 左 至 右 `, 从 上 至 下 
填 在 矩形 格子 里 。 字 母 I 和 丁 暂时 当 作 一 个 字母 ,如 表 2-3 所 示 。 


表 2-3 基于 密 钥 monarchy 的 5X5 字母 矩阵 

















M oy N A R 
C H 二 B D 
E 人 G UJ K 
L 你 Q S 于 
人 V Ww X Z 














对 明文 按 如 下 规则 一 次 加 密 两 个 字母 : 
(1) 如 果 该 字母 对 的 两 个 字母 是 相同 的 ,那么 在 它们 之 间 加 一 个 填充 字母 ,如 x。 例 如 
balloon , 先 把 它 变 成 ba lx lo on 这 样 4 个 字母 对 。 
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(2) 落 在 矩阵 同一 行 的 明文 字母 对 中 的 字母 由 其 右边 的 字母 代 换 , 每 行 中 最 右边 的 一 
个 字母 用 该 行 中 最 左边 的 第 一 个 字母 来 代 换 , 如 ar 变 成 RM。 

(3) 落 在 矩阵 同一 列 的 明文 字母 对 中 的 字母 由 其 下 面 的 字母 代 换 , 每 列 中 最 下 面 的 一 
个 字母 用 该 列 中 最 上 面 的 一 个 字母 来 代 换 ,如 mu 变 成 CM。 

(4) 其 他 的 每 组 明文 字母 对 中 的 字母 按 如 下 方式 代 换 : 它 所 在 的 行 是 该 字母 所 在 行 ， 
列 则 为 另 一 字母 所 在 列 。 例 如 ,hs 变 成 BP,ea 变 成 IM( 或 JM)。 

Playfair 密码 相对 于 简单 的 单 表 密码 是 一 个 巨大 的 进步 。 首 先 ,因为 有 26 个 字母 , 故 
有 26X26 王 676 个 字母 对 ,因此 对 单个 的 字母 对 进行 判断 要 困难 得 多 。 

此 外 ,单个 字母 在 使 用 频率 的 统计 规律 上 比 字母 对 要 强 得 多 。 这 样 利用 使 用 频率 分 析 
字母 对 就 困难 些 。 一 个 明文 字母 有 多 种 可 能 的 代 换 密 文 字母 ,使 得 频率 分 析 困 难得 多 (例如 
hs 被 代 换 为 BP,hq 被 代 换 为 YP, 字 母 h 被 不 同 的 字母 代替 ) 。 

因为 这 些 原因 ,Playfair 密码 在 很 长 一 段 时 间 内 被 认为 是 牢 不 可 破 的 。 

尽管 Playfair 密码 被 认为 比较 安全 ,但 其 实 它 仍然 是 相对 容易 攻破 的 ,因为 它 的 密 文 仍 
然 完整 地 保留 了 明文 语言 的 结构 。 几 百 个 字母 的 密 文 就 足够 我 们 分 析 规 律 了 。 

2) Vigenere 密码 

最 简单 的 多 表 代 换 密码 是 Vigenere 密码 。 

它 的 代 换 规则 集 由 26 个 类 似 Caesar 密码 的 代 换 表 组 成 ,其 中 每 一 个 代 换 表示 对 明文 
字母 表 移 位 0 到 25 次 后 的 代 换 单 表 。 每 个 密码 代 换 表 由 一 个 密 钥 字母 来 表示 。 

例如 , 密 钥 字母 为 aa 代表 0) ,明文 字母 为 c, 则 密 文字 母 为 0 十 2(mod 26) 一 2, 也 就 
是 c。 

每 一 个 密 钥 字母 加 密 一 个 明文 字母 ,直到 所 有 的 密 钥 字母 用 完 ,然后 再 从 头 开 始 , 使 用 
第 一 个 密 钥 字 母 加 密 。 也 就 是 说 , 密 钥 循环 使 用 。 

例如 密 钥 词 是 deceptive, 那 么 明文 we are discovered save yourself 将 这 样 被 加 密 

Key: deceptivedeceptivedeceptive 

Plaintext: wearediscoveredsaveyourself 

Cihpertext: ZICVTWQNGRZGVTWAVZHCQYGLMGJ 

这 种 密码 的 强度 在 于 每 个 明文 字母 对 应 着 多 个 密 文 字母 , 且 每 次 使 用 唯一 的 字母 作为 
密 钥 词 ,因此 字母 出 现 的 频率 信息 被 隐蔽 了 ,不 过 并 非 所 有 的 明文 结构 信息 都 被 隐藏 。 尽 管 
它 对 于 Playfair 密码 是 一 个 较 大 的 改进 , 却 依然 保留 了 许多 频率 信息 。 可 以 采用 密码 分 析 
学 中 的 一 些 数 学 原理 来 对 其 进行 攻击 。 

首先 ,假设 敌手 认为 密 文 是 用 单 表 代 换 或 Vigenere 密码 加 密 的 。 可 以 用 一 个 简单 的 测 
试 区 分 。 如 果 用 单 表 代 换 ,那么 密 文 的 统计 特性 应 该 与 明文 语言 的 统计 特性 相同 ,因此 参照 
英文 字母 的 相对 使 用 频率 ,应 该 有 一 个 密 文 字母 出 现 的 频率 大 约 是 12.7% ,一 个 大 约 是 
9.06% 和 等。 如 果 只 有 一 条 消息 可 用 于 密码 分 析 , 那 么 并 不 期 望 它 体 现 出 来 的 统计 规律 和 明 
文 完全 一 样 。 然 而 当 它 们 的 统计 规律 非常 接近 时 ,就 可 以 认为 它 采用 了 单 表 加 密 。 

另 一 方面 ,如 果 认 为 采用 了 Vigenere 密码 加 密 , 那 么 它 会 依赖 于 所 用 密 钥 词 的 长 度 。 
发 现 这 个 事实 是 很 重要 的 : 如 果 两 个 相同 的 明文 序列 之 间 的 距离 是 密 钥 词 长 度 的 整数 倍 ， 
那么 产生 的 密 文 序列 也 是 相同 的 。 在 前 面 的 例子 里 .red 的 两 次 出 现 间隔 9 个 字母 。 在 两 
种 情况 下 ,r 都 是 用 e 加 密 ,e 都 是 用 p 加 密 ,d 都 是 用 t 加 密 , 因 此 得 到 了 两 个 相同 的 密 文 序 
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列 VTW。 

分 析 者 只 要 发 现 重复 序列 VTW ,而 重复 序列 之 间 相 隔 9 个 字母 ,那么 他 就 可 以 认为 密 
钥 词 的 长 度 是 3 或 者 9。VTW 的 两 次 出 现 可 能 是 偶然 ,而 不 一 定 是 用 相同 密 钥 加 密 相同 明 
文 序列 所 导致 的 。 然 而 ,如 果 信 息 足 够 长 ,就 会 有 大 量 重 复 的 密 文 序列 出 现 。 通 过 计算 重复 
密 文 序列 间距 的 公 因子 ,分 析 者 很 快 就 能 猜 出 密 钥 的 长 度 。 

破解 密码 也 依赖 于 另 一 个 重要 的 观察 。 如 果 密 钥 词 的 长 度 为 N, 那 么 密码 实际 上 包含 
了 个 单 表 代 换 。 例 如 ,以 deceptive 作为 密 钥 词 ,那么 处 在 位 置 1,10,19,… 的 字母 的 加 密 
实际 上 是 单 表 代 换 。 因 此 ,我 们 可 以 用 明文 语言 的 频率 特性 对 这 样 的 单 表 代 换 分 别 进行 
分 析 。 

虽然 破译 Vigenere 密码 的 技术 并 不 复杂 ,但 是 1917 年 的 一 期 (科学 美国 人 杂志 上 却 
称 之 为 不 可 破译 的 。 当 对 现代 密码 算法 做 出 类 似 论 断 时 ,这 是 值得 吸取 的 教训 。 


4. 一 次 一 密 


有 一 种 理想 的 加 密 方案 , 叫 作 一 次 一 密 乱 码 本 (one-time pad), 由 Major Joseph 
Mauborgne 和 AT& 人 公司 的 Gilbert Vernam 于 1917 年 发 明 , 被 认为 是 一 种 不 可 攻破 的 密 
码 体制 。 

一 次 一 密 乱 码 本 不 外 乎 是 一 个 大 的 不 重复 的 真 随机 密 钥 字 母 集 , 这 个 密 钥 字 母 集 被 写 
在 几 张 纸 上 ,并 被 粘 成 一 个 乱码 本 。 发 送 者 用 每 一 个 明文 字符 和 一 次 一 密 乱码 本 密 钥 字 符 
进行 模 26 加 法 运算 得 到 密 文 。 

每 个 密 钥 仅 对 一 个 消息 使 用 一 次 。 发 送 者 对 所 发 送 的 消息 加 密 , 然 后 销毁 乱码 本 中 用 
过 的 一 页 。 接 收 者 有 一 个 同样 的 乱码 本 ,并 依次 使 用 乱码 本 上 的 每 个 密 钥 去 解密 密 文 的 每 
个 字符 。 接 收 者 在 解密 消息 后 销毁 乱码 本 中 用 过 的 一 页 。 新 的 消息 则 用 乱码 本 中 新 的 密 钥 
加 密 。 

因此 ,这 种 方法 其 实 就 是 采用 与 消息 一 样 长 且 无 重复 的 随机 密 钥 加 密 消息 , 它 产生 的 随 
机 输出 与 明文 没有 任何 统计 关系 。 因 为 密 文 不 包含 明文 的 任何 信息 ,所 以 无 法 攻破 。 

在 攻击 者 进行 破译 时 , 面 对 一 条 待 破译 的 密 文 ,攻击 者 能 够 找到 很 多 个 与 密 文 等 长 的 密 
钥 , 使 得 破译 出 的 明文 符合 语法 结构 的 要 求 ,因为 密 钥 本 身 是 随机 的 ,是 没有 规律 的 。 

例如 ,有 密 文 

ANKYODKYUREPFJBYOJDSPLREYIUNOFDOIUERFPLUYTS 
攻击 者 可 以 找到 很 多 不 同 的 密 钥 ,使 得 采用 这 些 密 钥 解密 后 得 到 一 条 可 读 的 明文 ,例如 下 面 
两 个 密 钥 : 

密 文 : ANKYODKYUREPFJBYOJDSPLREYIUNOFDOIUERFPLUYTS 

密 钥 1; pxlmvmsydoftyrvzwec tnlebnecvgdupahfzzlmnyih 

明文 : mr mustard with the candlestick in the hall 


密 文 : ANKYODKYUREPFJBYOJDSPLREYIUNOFDOIUERFPLUYTS 
密 钥 2: mfugpmiydgaxgoufhklllmhsqdqogtewbqfgyovuhwt 
明文 : miss scarlet with the knife in the library 


假设 密码 分 析 者 找到 这 两 个 密 钥 ,于 是 产生 两 个 似是而非 的 明文 。 分 析 者 如 何 确定 正 
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确 的 解密 呢 ? 如 果 密 钥 在 真正 随机 的 方式 下 产生 ,那么 分 析 者 就 不 能 说 密 钥 更 有 可 能 是 哪 
一 种 。 就 算 在 这 些 可 能 的 密 钥 中 存在 真正 的 密 钥 ,攻击 者 也 无 法 在 这 些 可 能 的 密 钥 中 确定 
真正 的 密 钥 ,因为 密 钥 只 是 用 一 次 ,攻击 者 无 法 用 其 他 密 文 验证 这 个 密 钥 , 因 此 没有 办 法 确 
定 真正 的 密 钥 , 也 就 是 说 没有 办 法 确定 真正 的 明文 。 

事实 上 ,给 出 任何 长 度 与 密 文 一 样 的 明文 ,都 存在 着 一 个 密 钥 产生 这 个 明文 。 因 此 ,如 
果 用 穷 举 法 搜索 所 有 可 能 的 密 钥 ,就 会 得 到 大 量 可 读 、 清 楚 的 明文 ,但 是 没有 办 法 确定 哪 一 
个 才 是 真正 所 需 的 ,因此 这 种 密码 是 不 可 破 的 。 

一 次 一 密 的 安全 性 完全 取决 于 密 钥 的 随机 性 。 如 果 构 成 密 钥 的 字符 流 是 真正 随机 的 ， 
那么 构成 密 文 的 字符 流 也 是 真正 随机 的 。 因 此 分 析 者 没有 任何 攻击 密 文 的 模式 和 规则 
可 用 。 

但 实际 上 ,要 一 次 一 密 提 供 完全 的 安全 性 ,存在 两 个 基本 难点 : 一 个 是 产生 大 规模 随机 
密 钥 的 实际 困难 ; 另外 一 个 是 密 钥 分 配 和 保护 的 问题 ,对 每 一 条 发 送 的 消息 ,需要 提供 给 发 
送 方 和 接收 方 和 明文 等 长 度 的 密 钥 。 因 此 存在 庞大 的 密 钥 分 配 问 题 。 所 以 一 次 一 密 在 实际 
中 很 少 使 用 ,而 主要 用 于 安全 性 要 求 很 高 的 低 带宽 通信 。 

前 苏联 曾经 在 第 二 次 世界 大 战 后 使 用 过 一 次 一 密 的 方法 加 密 间 谍 发 送 的 消息 。 用 一 番 
在 每 一 页 上 都 标 有 随机 数字 的 纸 ,每 页 纸 用 于 一 条 消息 ,而 且 只 用 一 次 。 如 果 使 用 正确 ,这 
种 加 密 机 制 无 法 破解 ,但 是 苏联 人 的 错误 是 没有 正确 使 用 它们 ,重复 使 用 了 一 次 性 便条 ,所 
以 一 些 消息 就 被 破解 了 。 


252 置换 技术 


到 现在 为 止 讨论 的 都 是 将 明文 字母 代 换 成 为 密 文字 母 。 与 之 不 同 的 男 一 种 加 密 方式 是 
通过 置换 而 形成 新 的 排列 ,这 种 技术 称 为 置换 密码 。 
最 简单 的 例子 是 栅栏 技术 ,按照 对 角 线 的 顺序 写 人 明文 ,而 按 行 的 顺序 读 出 作为 密 文 。 
例如 ,用 深度 为 2 的 栅栏 技术 加 密 信息 meet me after the toga party, 可 写 为 
me mw at ht gp 和 ry 
e te feteouaat 
则 密 文 为 
MEMATRHTGPRYETEFETEOAAT 
一 种 更 加 复杂 的 方案 是 把 消息 一 行 一 行 地 写成 矩形 块 , 然 后 按 列 读 出 ,但 是 把 列 的 次 序 
打 乱 。 列 的 次 序 就 是 密 钥 。 例 如 : 
密 钥 
明文 









































Nl-lo lo|~ 





ololn | 
olclv|ln lw 
nlsl-|- i- 
Bl~lois lv 
x |-.|e |o la 
< | 一 | iw 





则 生成 的 密 文 为 
TTNAAPTMTSUOAODWCOIXKNLYPETZ 
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单纯 的 置换 密码 因为 有 着 与 原始 明文 相同 的 字母 频率 特征 而 容易 被 破译 。 密 码 分 析 可 
直接 从 密 文 排列 成 矩阵 人 手 , 再 来 处 理 列 的 位 置 。 双 字母 音节 和 三 字母 音节 分 析 方 法 可 以 
派 上 用 场 。 

多 步 置 换 密码 相对 来 说 要 安全 得 多 。 这 种 复杂 的 置换 是 不 容易 构造 出 来 的 。 因 此 ,如 
果 前 面 那 条 消息 用 相同 算法 再 加 密 一 次 , 则 有 


密 钥 
明文 






































-ix|s|loilo 








Solgl~-|i 
一 | 弛 |-|-| ww 
iolw ll-= 
lolcls|is 
ol-:Iols|a 
smilol=-|= 





则 生成 的 密 文 为 
NSCYAUOPTTWLTMDNAOIEPAXTTOKZ 
为 了 更 清晰 地 看 出 经 过 双重 置换 后 的 结果 ,用 字母 所 在 位 置 序号 代 换 原始 明文 信息 。 
于 是 , 共 28 个 字母 的 原始 消息 序列 是 
01 0203 0405 06 07 08 09 10 11 12 13 14 
15 16 17 18 19 20 21 22 23 24 25 26 27 28 
经 过 第 一 次 置换 后 变 成 了 
03 10 17 24 04 11 18 25 02 09 16 23 01 08 
15 22 05 12 19 26 06 13 20 27 07 14 21 28 
这 多 少 还 有 些 规律 ,但 是 经 过 二 次 置换 变 成 
17 09 05 27 24 16 12 07 10 02 22 20 03 25 
15 13 04 23 19 14 11 01 26 21 18 08 06 28 
然后 ,排列 结构 已 经 没有 什么 规律 了 ,分 析 者 攻击 它 要 困难 得 多 。 
当然 ,单纯 的 置换 技术 对 于 现代 密码 分 析 来 说 是 微不足道 的 。 因 此 ,置换 技术 通常 是 与 
代 换 技术 相 结 合 使 用 的 ,一 般 地 ,可 先 利用 代 换 技术 加 密 , 再 用 置换 技术 将 密 文 再 次 加 密 。 


253 转 轮机 


转 轮 机 是 实现 高 效 加 密 和 解密 的 自动 化 设备 ,在 两 次 世界 大 战 中 曾经 扮演 了 重要 的 角色 。 
1. 转 轮机 的 原理 


2.5.2 节 中 的 多 步 置 换 的 例子 表明 ,用 多 步 置换 得 到 的 算法 对 密码 分 析 有 很 大 的 难度 。 
这 对 代 换 密码 也 适用 。 

20 世纪 20 年 代 , 随 着 机 械 和 机 电 技 术 的 成 熟 ,以 及 电报 和 无 线 电 需求 的 出 现 ,引起 了 
密码 设备 方面 的 一 场 革命 一 一 发 明了 转 轮 密码 机 (rotor, 简 称 转 轮 机 ), 转 轮机 的 出 现 是 密 
码 学 发 展 的 重要 标志 之 一 。 

美国 人 Edward Hebern 认识 到 : 通过 硬件 卷 绕 实现 从 转 轮 机 的 一 边 到 另 一 边 的 单字 
母 代替 ,然后 将 多 个 这 样 的 转 轮 机 连接 起 来 ,就 可 以 实现 几乎 任何 复杂 度 的 多 个 字母 代替 。 

转 轮 机 由 一 个 键盘 和 一 系列 转 轮 组 成 ,每 个 转 轮 是 26 个 字母 的 任意 组 合 。 转 轮 被 齿轮 
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连接 起 来 , 当 一 个 转 轮转 动 时 ,可 以 将 一 个 字母 转换 成 另 一 个 字母 。 照 此 传递 下 去 , 当 最 后 
一 个 转 轮 处 理 完毕 时 ,就 可 以 得 到 加 密 后 的 字母 。 

为 了 使 转 轮 密码 更 安全 ,人 们 还 把 几 种 转 轮 和 移动 齿轮 结合 起 来 ,所 有 转 轮 以 不 同 的 速 
度 转动 ,并且 通过 调整 转 轮 上 字母 的 位 置 和 速度 为 破译 设置 更 大 的 障碍 。 

转 轮机 的 基本 原理 如 图 2-2 所 示 。 每 个 圆 简 有 26 个 输入 引 脚 和 26 个 输出 引 脚 。 内 部 
连 线 使 每 一 个 输入 仅 同 唯一 一 个 输出 连接 ,为 简明 起 见 , 图 中 只 画 出 了 3 条 内 部 连接 。 
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慢 速 转子 
(a) 加 密 一 个 字母 时 (b) 加 密 一 个 字母 后 


图 2-2 三 个 圆 简 的 转 轮机 内 部 结构 


中 速 转子 。 快速 转子 慢 速 转子 。 中 速 转 子 


快速 转子 


如 果 把 每 个 输入 输出 引 脚 当 作 字母 表 中 的 一 个 字母 ,那么 一 个 圆 简 就 定义 了 一 个 单 表 
替换 。 如 果 操 作 员 按 下 代表 字母 A 的 键 ,那么 电信 号 就 加 在 了 第 一 个 圆 简 的 第 一 个 输入 引 
脚 上 ,经 过 内 部 连 线 被 传送 到 第 25 个 输出 引 脚 。 

考虑 只 有 一 个 圆 简 的 转 轮机 。 每 次 按 下 一 个 输入 键 , 圆 简 就 旋转 一 个 位 置 , 所 以 内 部 连 
线 也 就 相应 改变 了 。 因 此 就 定义 了 不 同 的 单 表 代 换 密码 。 经 过 26 个 明文 字母 后 , 圆 简 回 到 
最 初 位 置 。 于 是 我 们 可 以 得 到 一 个 周期 为 26 的 多 表 代 换算 法 。 

单 简 系 统 比 较 简单 ,容易 对 付 。 转 轮机 的 威力 在 于 它 使 用 了 多 个 圆 简 ,每 个 简 的 输出 引 
脚 连接 到 下 一 个 简 的 输入 引 脚 。 图 2-2 所 示 的 是 一 个 三 简 系 统 。 在 图 2-2(a) 中 ,操作 员 从 
第 一 个 引 脚 输入 (明文 字母 a) ,经 过 3 个 圆 简 后 ,电信 号 出 现在 第 3 个 圆 简 的 第 2 个 引 脚 ( 密 
文字 母 B) 。 在 图 2-2(b) 中 ,如果 此 时 再 次 输入 明文 字母 a, 则 输出 的 密 文字 母 为 上 。 

多 简 系统 中 ,操作 员 每 按 一 次 输入 键 ,最 后 一 个 转 轮 就 旋转 一 个 引 脚 的 位 置 。 在 图 2-2(b) 
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中 ,经 过 一 次 按键 后 的 情况 。 最 后 一 个 转 轮 旋转 一 圈 后 , 它 前 面 的 一 个 圆 简 就 旋转 一 个 引 脚 
的 位 置 , 依 次 类 推 。 它 的 原理 看 起 来 有 点 像 钟表 的 时 针 、 分 针 和 秒针 的 齿轮 。 所 以 整个 系统 
重复 使 用 26X26X26 王 17 567 个 不 同 的 替换 字母 表 , 如 果 用 4 个 或 5 个 转 轮 ,周期 数 将 分 
别 为 456 976 和 11 881 376 。 


2. ENIGMA 


1918 年 ,德国 发 明 家 Arthur Scherbius 用 20 世纪 的 电气 技术 取代 已 经 过 时 的 铅笔 加 
纸 的 加 密 方法 ,发 明了 恩 尼 格 玛 (ENIGMA) 加 密 机 ,其 实质 就 是 多 简 的 转 轮 机 ,如 图 2-3 所 
示 。ENIGMA 首先 是 作为 商用 加 密 机 器 得 到 应 用 的 。 它 的 专利 在 1918 年 在 美国 得 到 确 
认 。 和 售 价 大 约 相当 于 现在 的 30 000 美元 。 

ENIGMA 转 轮机 的 大 量 使 用 是 在 第 二 次 世界 大 战 开始 
后 。 第 二 次 世界 大 战 中 德国 军队 大 约 装备 了 3 万 台 1 本 
ENIGMA ,使 得 德军 通信 的 保密 性 在 当时 世界 上 无 与 伦比 。 6868 。 
为 了 提高 破译 难度 ,德军 甚至 在 潜艇 通信 时 使 用 了 4 个 甚至 导 3333333033D 
更 多 转子 的 ENIGMA 转 轮机 。ENIGMA 在 纳粹 德国 第 二 | Pm 
次 世界 大 战 初期 的 胜利 中 起 到 的 作用 是 决定 性 的 。 

波兰 人 在 1934 年 研究 出 了 破译 ENIGMA 的 方法 ,而 
德国 人 在 1938 年 底 又 对 ENIGMA 做 了 大 幅度 改进 。1939 
年 7 月 25 日 ,波兰 情报 部 门 邀 请 英国 和 法 国 的 情报 部 门 共 
商 合作 破译 ENIGMA。 英 国情 报 部 门 在 伦敦 以 北约 80 公 ”图 23 ENIGMA 转 轮机 
里 的 一 个 叫 布 莱 奇 利 的 地 方 征 用 了 一 所 庄园 。 一 个 月 后 ， 
鲜 为 人 知 的 英国 政府 密码 学 校 迁 移 到 此 。 不 久 ,一 批 英国 数学 家 也 悄悄 来 到 这 所 庄园 ,破译 
恩 尼 格 玛 密码 的 工作 进入 了 冲刺 阶段 。 在 这 里 刚 开始 时 只 有 500 人 ,战争 结束 时 已 经 增加 
到 了 7000 人 。 

为 了 破译 ENIGMA, 英 国人 将 国内 最 优秀 的 数学 家 悉数 招 进 庄 园 。 其 中 就 有 从 剑桥 来 
的 图 灵 , 正 是 他 打破 了 ENIGMA 不 可 战胜 的 神话 。 首 先 , 盟 军 利用 电报 中 可 能 的 闲聊 内 容 
(这 些 内 容 与 每 天 发 生 的 事情 有 关系 ) ,通过 猜测 德国 人 可 能 讨论 的 某 些 地 点 或 问题 ,发 现 了 
一 些 加 密 文本 的 片段 ,这 些 片段 能 够 联系 到 原始 的 报 文 。 其 次 ,他 们 密切 关注 德国 空军 的 报 
文 。 因 为 德国 空军 的 信和 号 员 不 如 德国 陆军 和 海军 的 那么 训练 有 素 。 盟 军 注意 到 的 那些 小 错 
误 增 加 了 他 们 对 加 密 报 文 的 理解 。 例 如 ,德国 空军 的 信号 员 经 常 使 用 女 朋友 的 名 字 作 为 密 
钥 ,或 用 前 一 段 结尾 处 相同 的 设置 开始 下 一 段 报 文 。 这 些 信息 使 得 盟 军 在 英国 战争 期 间 能 
确定 德国 空军 的 一 些 计 划 。 因 此 , 当 控 制 协议 不 够 完善 时 ,复杂 的 技术 也 可 以 被 攻破 。 

今天 , 转 轮 机 的 意义 在 于 它 曾经 给 最 为 广泛 使 用 的 密码 一 一 数据 加 密 标准 DES 指明 了 
方向 。 





254 隐蔽 通道 和 隐 写 术 


严格 来 说 ,隐蔽 通道 和 隐 写 术 这 两 种 技术 并 不 是 加 密 ,而 是 隐藏 。 它 们 隐藏 明文 信息 的 
存在 ,而 密码 学 通过 对 文本 信息 的 不 同 转换 而 实现 信息 对 外 的 不 可 读 。 
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例如 ,假设 一 群 孩子 正在 准备 一 次 考试 ,形式 为 选择 题 ,答案 为 A 一 D。 其 中 一 个 孩子 
Bob 准备 得 非常 充分 ,他 决定 帮助 其 他 人 。 在 考试 前 ,他 们 商量 好 用 以 下 方式 来 传送 答案 : 
如 果 Bob 咳嗽 ,表示 该 题 答 案 为 A, 如 果 叹 气 ,表示 该 题 答案 为 B 等 。 外 界 可 能 会 注意 到 
Bob 的 行为 ,这 个 行为 作为 通道 ,他 的 信息 却 隐藏 在 这 个 公开 的 通道 里 。 这 就 是 隐蔽 通道 在 
人 们 现实 生活 中 的 例子 。 

目前 ,这 种 方法 被 使 用 在 应 用 程序 中 ,如 一 个 为 银行 写 代码 的 程序 员 在 程序 交付 使 用 
后 ,就 不 能 再 访问 其 中 的 敏感 数据 了 。 但 是 程序 员 可 能 在 程序 中 使 用 了 隐蔽 通道 ,使 程序 在 
运行 期 间 秘密 地 与 自己 通信 ,传输 数据 。 运 行 中 的 程序 如 果 产 生 特 殊 的 输出 会 引起 安全 管 
理 员 的 注意 。 所 以 程序 员 往 往 采 用 一 些 方式 隐藏 信息 ,如 将 输出 标题 文字 由 TOTAL 变 成 
TOTALS, 这 样 不 会 引起 人 们 的 注意 ,但 却 创建 了 一 个 一 位 的 隐蔽 通道 。 通 过 检查 标题 中 
是 否 有 S 出现 ,可 以 传递 一 位 信息 。 同 理 , 在 其 他 地 方 采用 这 样 的 方法 , 则 可 以 传递 大 量 
信息 。 

关于 隐 写 术 还 有 这 样 的 一 些 例子 : 

字符 标记 : 选择 一 些 印刷 字母 ,用 铅笔 在 其 上 面 书写 一 遍 。 这 些 标记 需要 做 得 在 一 般 
场合 下 辨认 不 出 ,除非 将 纸张 从 某 个 角度 对 着 亮光 看 。 

不 可 见 墨水 : 有 些 物 质 用 来 书写 后 不 留 下 痕迹 ,除非 加 热 或 加 入 某 种 化 学 物质 。 

在 目前 的 计算 机 时 代 , 也 可 以 用 类 似 的 方法 。 例 如 ,利用 图 像 文件 的 元 余 存 储 秘密 信 
息 。 让 信息 看 起 来 是 一 张 图 片 ,而 采用 某 种 变换 方式 后 成 为 明文 。 这 形成 了 目前 比较 热门 
的 一 个 研究 领域 一 一 信息 隐藏 。 

同 加 密 相 比 , 隐 项 通道 和 隐 写 术 有 一 些 缺 点 ,需要 许多 额外 的 付出 来 隐蔽 相对 较 少 的 信 
息 。 尽 管 采用 上 述 的 一 些 方案 也 许 有 效 ,但 是 一 旦 被 破解 ,整个 方案 就 毫 无 价值 了 。 

隐蔽 通道 和 隐 写 术 的 优点 是 可 以 应 用 于 通信 双方 宁愿 他 们 的 秘密 通信 被 发 现 而 不 愿 其 
中 的 重要 内 容 丢失 的 情况 。 
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作为 现代 密码 学 ,虽然 算法 更 加 复杂 ,但 原理 还 是 没 变 。 只 不 过 现代 密码 学 的 算法 是 针 
对 二 进 制 位 而 不 是 针对 字母 进行 变换 ,实际 上 这 只 是 字母 表 长 度 上 的 改变 : 从 26 个 元 素 变 
为 2 个 元 素 。 大 多 数 优秀 算法 的 主要 组 成 部 分 仍然 是 代 换 和 置换 的 组 合 ,如 DES 算法 。 

前 面 已 经 提 到 ,对称 密码 体制 就 是 在 加 密 和 解密 时 用 到 的 密 钥 相同 ,或 加 密 密 钥 和 解密 
密 钥 之 间 存在 着 确定 的 转换 关系 。 其 实质 是 设计 一 种 算法 ,能 在 密 钥 控 制 下 ,把 位 明文 简 
单 而 又 迅速 地 置换 成 唯一 的 2 位 密 文 ,并 且 这 种 变换 是 可 逆 的 (解密 ) 。 

根据 不 同 的 加 密 方式 ,对 称 密码 体制 又 有 两 种 不 同 的 实现 方式 , 即 分 组 密码 和 序列 密码 
(或 称 流 密码 )。 其 中 ,分 组 密码 是 先 把 明文 划分 为 许多 分 组 ,每 个 明文 分 组 被 当 作 一 个 整体 
来 产生 一 个 等 长 (通常 情况 下 ) 的 密 文 分 组 ,通常 使 用 的 是 64 位 或 128 位 分 组 大 小 。 而 序列 
密码 则 每 次 加 密 数据 流 中 的 一 位 或 一 个 字 节 。 
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分 组 密码 体制 是 目前 商业 领域 中 比较 重要 而 流行 的 一 种 加 密 体制 ,广泛 地 应 用 于 数据 
的 保密 传输 、 加 密 存储 等 应 用 场合 。 分 组 密码 对 明文 进行 加 密 时 ,首先 需要 对 明文 进行 分 
组 ,每 组 的 长 度 都 相同 ,然后 对 每 组 明文 分 别 加 密 得 到 等 长 的 密 文 。 分 组 密码 的 安全 性 主要 
依赖 于 密 钥 ,而 不 依赖 于 对 加 密 算法 和 解密 算法 的 保密 ,因此 ,分 组 密码 的 加 密 和 解密 算法 
可 以 公开 。 


1. 要 求 





分 组 密码 算法 实际 上 就 是 在 密 钥 的 控制 下 ,简单 而 迅速 地 找到 一 个 置换 ,用 来 对 明文 分 
组 进行 加 密 变 换 ,一 般 情况 下 对 密码 算法 的 要 求 如 下 : 

(1) 分 组 长 度 m 足够 大 。 当 分 组 长 度 m 较 小 时 ,分 组 密码 很 类 似 于 某 些 古典 密码 ,如 
维 吉 尼 亚 密码 ` 希 尔 密 码 和 置换 密码 。 它 仍然 有 效 地 保留 了 明文 中 的 统计 信息 ,这 种 统计 信 
息 将 给 攻击 者 留 下 可 乘 之 机 ,攻击 者 可 以 有 效 地 穷 举 明文 空间 ,得 到 密码 变换 本 身 。 

(2) 密 钥 空间 足够 大 。 分 组 密码 的 密 钥 所 确定 的 密码 变换 只 是 所 有 置换 中 极 小 的 一 部 
分 。 如 果 这 一 部 分 足够 小 ,攻击 者 可 以 有 效 地 通过 穷 举 密 钥 ,确定 所 有 的 置换 。 到 时 ,攻击 
者 就 可 以 对 密 文 进行 解密 ,以 得 到 有 意义 的 明文 。 
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(3) 密码 变换 必须 足够 复杂 ,使 攻击 者 除了 穷 举 法 攻击 以 外 , 找 不 到 其 他 简洁 的 数学 破 
译 方法 。 


2. 基本 思想 


为 了 便于 实现 和 分 析 , 在 设计 分 组 密码 时 通常 遵循 以 下 两 个 基本 思想 : 

(1) 扩散 (diffusion)。 将 明文 及 密 钥 的 影响 尽 可 能 迅速 地 散布 到 较 多 个 输出 的 密 文 
中 。 产 生 扩 散 的 最 简单 方法 是 通过 置换 (如 重新 排列 字符 ) 。 

(2) 混淆 (confusion)。 其 目的 在 于 使 作用 于 明文 的 密 钥 和 和 密 文 之 间 的 关系 复杂 化 ,使 
明文 和 密 文 之 间 、 密 文 和 密 钥 之 间 的 统计 相关 特性 极 小 化 ,从 而 使 统计 分 析 攻 击 不 能 奏效 。 
通常 的 方法 是 代 换 。 


3. 技术 


具体 来 说 ,可 以 综合 采用 以 下 两 种 技术 : 

(1) 将 大 的 明文 分 组 再 分 成 几 个 小 段 ,分 别 完 成 各 个 小 段 的 加 密 置换 ,最 后 进行 并 行 操 
作 。 这 样 使 得 总 的 分 组 长 度 足 够 大 ,有 利于 对 密码 的 实际 分 析 和 评测 ,以 保证 密码 算法 的 
强度 。 

(2) 采用 乘积 密码 技术 。 乘 积 密码 就 是 以 某 种 方式 连续 执行 两 个 或 多 个 密码 变换 。 例 
如 , 设 有 两 个 子 密码 变换 El 和 E2, 则 先 以 El 对 明文 进行 加 密 , 然 后 再 以 E2 对 所 得 结果 进 
行 加 密 。 其 中 ,El 的 密 文 空间 与 E2 的 明文 空间 相同 。 如 果 使 用 得 当 的 话 ,乘积 密码 可 以 
有 效 地 掩盖 密码 变换 的 弱点 ,构成 比 其 中 任意 一 个 密码 变换 强度 更 高 的 密码 系统 。 

典型 的 分 组 密码 有 DES、AES。 
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321 数据 加 密 标准 简介 


数据 加 密 标准 (data encryption standard,DES) 是 一 种 对 计算 机 数据 进行 密码 保护 的 数 
学 算法 , 它 的 产生 被 认为 是 20 世纪 70 年 代 信息 加 密 技术 发 展 史上 的 里 程 碑 之 一 。 由 于 20 
世纪 60 年 代 计 算 机 得 到 了 迅猛 的 发 展 ,大 量 的 数据 资料 被 集中 储存 在 大 型 计算 机 数据 库 中 
并 在 计算 机 通信 和 网 中 进行 传输 ,其 中 有 些 通信 具有 高 度 的 机 密 性 ,有 些 数据 具有 极为 重要 的 
价值 ,因此 对 计算 机 通信 及 计算 机 数据 进行 保护 的 需求 日 益 增 长 。 当 时 的 美国 虽然 已 经 制 
定 了 数据 保密 措施 ,但 是 人 们 普遍 认为 这 些 保密 措施 只 对 业余 人 员 有 效 , 对 于 职业 人 员 来 
说 ,要 截获 通信 信和 号、 绕 过 报警 系统 并 接 通通 信 设 备 , 取 出、 复制 .删除 .插入 或 更 改 信 息 是 不 
成 问题 的 。 针 对 这 种 情况 ,有 人 提出 了 两 种 对 数据 进行 保护 的 方法 ,一 种 方法 是 对 数据 进行 
物理 保护 , 即 把 重要 的 数据 存放 到 安全 的 地 方 , 如 银行 的 地 下 室 中 ; 另 一 种 方法 是 对 数据 进 
行 密码 保护 。 

由 于 普遍 认为 加 密 算法 如 果 足 够 复杂 的 话 , 密 码 是 一 种 有 效 的 措施 。 所 以 美国 国家 标 
准 局 (NBS) 于 1973 年 5 月 发 出 通告 ,公开 征求 一 种 标准 算法 用 于 对 计算 机 数据 在 传输 和 存 
储 期 间 实 现 加 密 保护 的 密码 算法 。1975 年 美国 国家 标准 局 接受 了 美国 国际 商业 机 器 公司 
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(IBM) 推 荐 的 一 种 密码 算法 并 向 全 国 公布 ,征求 对 采用 该 算法 作为 美国 信息 加 密 标 准 的 
意见 。 

经 过 两 年 的 激烈 争论 ,美国 国家 标准 局 于 1977 年 7 月 正式 采用 该 算法 作为 美国 数据 加 
密 标准 。1980 年 12 月 美国 国家 标准 协会 ANSI 正式 采用 这 个 算法 作为 美国 的 商用 加 密 

DES 是 一 种 对 称 密码 体制 ,所 使 用 的 加 密 和 解密 密 钥 是 相同 的 ,是 一 种 典型 的 按 分 组 
方式 工作 的 密码 。 其 基本 思想 是 将 二 进 制 序列 的 明文 分 成 每 64 位 一 组 ,用 长 为 64 位 的 密 
钥 对 其 进行 16 轮 代 换 和 置换 加 密 , 最 后 形成 密 文 。 

DES 的 巧妙 之 处 在 于 除了 密 钥 输入 顺序 ,其 加 密 和 解密 的 步骤 完全 相同 ,这 就 使 得 在 
制作 DES 芯片 时 易于 做 到 标准 化 和 通用 化 。 这 一 点 尤其 适合 现代 通信 的 需要 ,在 DES 出 
现 以 后 ,经 过 许多 专家 学 者 的 分 析 论 证 证 明 它 是 一 种 性 能 良好 的 数据 加 密 算 法 ,不 仅 随机 特 
性 好 ,线性 复杂 度 高 ,而且 易于 实现 ,加 上 能 够 标准 化 和 通用 化 ,因此 DES 在 国际 得 到 了 广 
泛 的 应 用 。 
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DES 是 典型 的 传统 密码 体制 , 它 利用 传统 的 代 换 和 置换 等 加 密 方 法 , 现 介 绍 算法 如 下 : 

加 密 前 , 先 将 明文 分 成 64 位 的 分 组 ,然后 将 64 位 二 进 制 
码 输入 到 密码 器 中 ,密码 器 对 输入 的 64 位 码 首先 进行 初始 置 
换 , 然 后 在 64 位 主 密 钥 产 生 的 16 个 子 密 钥 控制 下 进行 16 轮 初始 置换 IP 
乘积 变换 ,接着 再 进行 着 初始 置换 就 得 到 64 位 已 加 密 的 密 文 。 

算法 的 主要 步 又 如 图 3-1 所 示 。 

假定 信息 空间 都 是 由 {0,1} 组 成 的 字符 串 ,信息 被 分 成 64 
位 的 块 , 密 钥 是 56 位 。 经 过 DES 加 密 的 密 文 也 是 64 位 的 块 。 


输入 64 位 明文 数据 








设 疡 是 一 个 64 位 的 信息 块 ,为 56 位 的 密 钥 , 即 初始 着 置换 IJP-! 
m 一 my 7722 "77264 
Wi 输出 64 位 密 文 数据 
k= kik,**ke 图 3-1 DES 算法 的 主要 步骤 
ki 一 1,2,…,64 


其 中 ,ks ,Ras ,Ros ,Rsz ,Rio ,kas ,kss ,ks 是 奇偶 校 验 位 ,真正 起 作用 的 密 钥 仅 56 位 。 
下 面 介 绍 一 个 分 组 的 加 密 过 程 。 


1. 初始 置换 IP 


将 64 个 明文 位 的 位 置 进行 置换 ,得 到 一 个 乱 序 的 64 位 明文 组 ,然后 分 成 左右 两 段 , 每 
段 为 32 位 ,以 L 和 R 表示 ,如 图 3-2 所 示 。 


2. 迭代 变换 


迭代 变换 是 DES 算法 的 核心 部 分 。 如 图 3-3 所 示 ,将 经 过 IP 置换 后 的 数据 分 成 32 位 
左右 两 组 ,在 迭代 过 程 中 彼此 左右 交换 位 置 ,每 次 迭代 只 对 右边 的 32 位 进行 一 系列 的 加 密 
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变换 。 在 此 轮 迭 代 即 将 结束 时 ,把 左边 的 32 位 与 右边 的 32 位 诸位 模 2 相 加 ,作为 下 一 轮 迭 

代 时 右边 的 段 ,并 将 原来 右边 的 未 经 变换 的 段 直接 送 到 左边 的 寄存 器 中 作为 下 一 轮 迭 代 时 

左边 的 段 。 在 每 一 轮 迭 代 时 ,右边 段 要 经 过 选择 扩展 运算 E、 密 钥 加 密 运 算 、 选 择 压缩 运算 

S .置换 运算 P 和 左右 混合 运算 。 

1，2，3… “063,64 
明文 输入 (64 位 ) 

















党 网 谷 车 





Ey 
大 
芝 
站 
Ss 
wy 
已 
D 
全 
Ey 
本 








1 2 3… | 63 64 


12 |. 32 3334 l 64 


Lo(32 位 ) Ro(32 位 ) 送 至 乘积 变换 的 数据 





置换 后 数据 


























3-2 初始 置换 


















































2G2 们 | RNG2 们 ) 

RE 
选择 扩展 运算 有 
48 位 寄存 出 

子 密 钥 K,(48 人 i) 

48 位 寄存 器 
选择 压缩 运算 有 
32 位 寄存 器 
置换 运算 P 

攻 一 

mG) | R32 位) 

LR RL BR K) 


3-3 ”乘积 变换 
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这 样 的 迭代 共 进 行 16 轮 ,结束 后 ,再 将 所 得 的 左 , 右 长 度 相等 的 Lis 和 Ri 进行 交换 得 
到 64 位 数据 。 

1) 选择 扩展 运算 巨 

将 输入 的 32 位 R 扩 展 成 48 位 输出 ,其 变换 表 如 图 3-4 所 示 。 

令 s 表示 EE 的 输入 的 下 标 , 则 EE 的 输出 将 是 对 原 下 标 s 二 0 或 1(mod 4) 的 各 位 重复 一 
次 得 到 的 , 即 对 原 第 32、1、4、5、8、9、12、13、16、17、20、21、24、25、28、29 各 位 重复 一 次 得 到 
数据 扩展 。 将 表 中 数据 按 行 读 出 即 得 到 48 位 输出 。 
1，2,… …32 

的 输入 (32 位 ) | 


| 











oo 
5 
ES 
已 
5 
Et 





| 


选择 扩展 运算 结果 (48 位 ) 
1，2，… 48 


图 3-4 选择 扩展 运算 已 











2) 密 钥 加 密 运 算 

将 子 密 钥 产生 器 输出 的 48 位 子 密 钥 与 选择 扩展 运算 EE 输出 的 48 位 数据 按 位 模 2 相 
加 ( 子 密 钥 如 何 产生 请 见 后 文 ) 。 

3) 选择 压缩 运算 S 

将 前 面 送 来 的 48 位 数据 自 左 至 右 分 成 8 组 ,每 组 6 位 。 然 后 并 行 送 入 8 个 S 盒 ,每 个 
S 盒 为 一 非 线性 代 换 网 络 ,有 4 个 输出 。 盒 S 一 Ss 的 选择 函数 关系 如 表 3-1 所 示 , 运 算 S 
的 框图 如 图 3-5 所 示 。 

8 个 S 盒 是 将 6 位 的 输入 映射 为 4 位 的 输出 。 

以 Si 盒 为 例 说 明 它 们 的 功能 如 下 : 

若 输入 为 51553b4bsbs 其 中 b1bs 两 位 二 进 制 数 表达 了 0 一 3 之 间 的 数 。bs63045; 为 4 位 
二 进 制 数 ,表达 0 一 15 之 间 的 某 个 数 。 

在 Si 表 中 的 bbs 行 bsbsbsbs 列 找到 一 数 m(0 三 m 三 15), 车 用 二 进 制 表示 为 
Mmzmam4; 则 mamzmsm 便 是 它 的 4 位 输出 。 

例如 ,输入 为 001111,6166 二 01 二 1.603645; 二 0111 二 7, 即 在 S, 盒 中 的 第 1 行 第 7 列 求 
得 数 1, 所 以 它 的 4 位 输出 为 0001。 

又 如 对 于 S; 盒 输入 为 101011, 则 S; 盒 中 3 行 5 列 元 素 为 15, 故 输出 为 1111。 
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表 3-1 DES 的 S 盒 定义 
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图 3-5 S 盒 的 结构 
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S 盒 是 DES 的 核心 ,也 是 DES 算法 最 敏感 的 部 分 ,其 设计 原理 至 今 仍 讳 莫如 深 , 显 得 
非常 神秘 。 所 有 的 替换 都 是 固定 的 ,但 是 又 没有 明显 的 理由 说 明 为 什么 要 这 样 ,有 许多 密码 
学 家 担心 美国 国家 安全 局 设计 S 盒 时 隐藏 了 某 些 陷 门 ,使 得 只 有 他 们 才 可 以 破译 算法 ,但 
研究 中 并 没有 找到 弱点 。 

美国 国家 安全 局 曾 透 露 了 S 盒 的 几 条 设计 准则 : 

(1) 所 有 的 S 盒 都 不 是 它 输入 的 线性 仿 射 函数 , 换 句 话说 ,就 是 没有 一 个 线性 方程 能 将 
4 个 输出 比特 表示 成 6 个 位 输入 的 函数 。 

(2) 改变 S 盒 的 1 位 输入 ,输出 至 少 改变 2 位 ,这 意味 着 S 盒 是 经 过 精心 设计 的 , 它 最 
大 程度 上 增 大 了 扩散 量 。 

(3) S 盒 的 任意 一 位 输出 保持 不 变 时 0 和 1 个 数 之 差 极 小 , 即 如 果 保持 一 位 不 变 而 改 
变 其 他 五 位 ,那么 其 输出 0 和 1 的 个 数 不 应 相差 太 多 。 

4) 置换 运算 

置换 运算 已 对 Si, 至 Ss 盒 输出 的 32 位 数据 进行 坐标 变换 ,如 图 3-6 所 示 ,置换 尸 输 出 
的 32 位 数据 与 左边 32 位 即 R;_1 诸 位 模 2 相 加 所 得 到 的 32 位 作为 下 一 轮 迭 代用 的 右边 的 
数字 段 ,并 将 R;-1 并 行 送 到 左边 的 寄存 器 作为 下 一 轮 迭 代用 的 左边 的 数字 有 段 。 


3. 子 密 钥 产生 器 


将 64 位 初始 密 钥 经 过 置换 选择 PC-1 ,循环 移 位 置换 、 置 换 选择 PC-2, 给 出 每 次 迭代 加 
密 用 的 子 密 钥 ,如 图 3-7 所 示 。 





密 钢 (64 位 ) 
上 ss 16,…，64 位 ， 共 8 个 校 验 位 

















选择 函数 输出 (32 位 ) 置换 选择 1(PC-1) 











16 7 20 21 Ci(28 位 ) | Di(28 位 ) 
29 12 28 17 | 

1 15 23 26 

循环 左 移 i 位 [ 循环 左 移 /位 
32 27 3 9 || | 























六 | 置换 选择 2(PC-2) ] 




















加 密 函 数 的 结果 石 (48 位 ) 














图 3-6 置换 运算 已 图 3-7 子 密 钥 产生 器 


在 64 比特 初始 密 钥 中 有 8 位 为 校 验 位 ,其 位 置 号 为 8.16、24、32、48、56 和 64, 其 余 56 
位 用 于 子 密 钥 计 算 ,将 这 56 位 送 入 置换 选择 PC-1。 置 换 后 分 为 两 组 ,每 组 为 28 位 ,分 别 送 
和 人 CC 寄存 器 和 DD 寄存 器 中 ,如 图 3-8 所 示 。 
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1, 2 64 
密 钥 (64 位 ) 

57 49 41 33 25 17 9 63 55 47 39 31 23 15 
1 58 50 42 34 26 18 7 62 54 46 38 30 22 
10 259 51 43 35 27 14 661 53 45 37 29 
19 11 3 60 52 44 36 21 13 5 28 20 12 4 

1 | 28 ,| 28 

Co(28 位 ) Do(28 位 ) 




















图 3-8 置换 选择 PC-1 
在 各 次 迭代 中 C 和 寄存 器 分 别 将 存 数 进行 左 循环 移 位 置换 , 移 位 次 数 如 表 3-2 所 
示 。 每 次 移 位 后 将 C 和 D 寄存 器 的 存 数 送 给 置换 选择 PC-2。 
表 3-2 移 位 次 数 表 


第 次 法 代 1 2 3 4 5 6 7 8 9 1 i 12 13 1 1 1 
循环 左 移 次 数 1 1 2 2 2 2 2 2 1 2 2 2 2 2 2 1 





置换 选择 PC-2 将 C 中 第 9、18、22、25 位 和 DD 中 第 7.9、15、26 位 删 去 ,并 将 其 余数 字 置 
换 位 置 后 送出 48 位 数字 作为 第 i 次 迭代 时 所 用 的 子 密 钥 &;, 如 图 3-9 所 示 。 








[cestw DiQsfin) 





























II 
(48 位 ) 


3-9 置换 选择 PC-2 








例如 ,k= 二 kik2*…kes , 则 Co 三 ksr kag*…*kaakss ,Do =keskss***Rkizk 。 

下 面 介 绍 如 何 从 C、D, 求 Ch 、 Di 一 0,1,2,…,15。 

设 Ci= cco*…czs ,Di 一 dids…dzs。 首 先 要 做 左 移 运算 , 左 移 的 位 数 见 表 3-2。 例 如 , 设 
Ci=cic2**cag sD;=did2*…dzs ; 则 C: 一 czcs…cas ci ,Ds = dids**dzs di 

Cs 和 Ds 是 由 Cs 、D; 左 移 1 位 而 得 到 的 ,C, 和 D, 是 由 C;、D; 左 移 2 位 而 得 到 的 ,所 
以 C4 一 csce…caa cl cz ca cs Ds= dsde**dzs di da ds ds。 

因此 :Ci; 了 ;一 04162…bss ; 则 ;二 bs bir Di bzs***bss bzg bsz 。 
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4. 逆 初 始 置换 IP- 


将 16 轮 迭 代 后 给 出 的 64 位 组 进行 置换 得 到 输出 的 密 文 组 ,如 图 3-10 所 示 ,输出 为 阵 
中 元 素 按 行 读 的 结果 。 注 意 IP 中 的 第 58 位 正好 是 1, 也 就 是 说 在 IP 的 置换 下 第 58 位 换 为 
第 1 位 。 同 样 ,在 IP 的 置换 下 应 将 第 1 位 换 回 第 58 位 , 依 此 类 推 ,由 此 可 见 输 入 组 mr 和 
IP™1(IPCm)) 是 一 样 的 ,IP 和 IP 在 密码 上 的 意义 不 大 , 它 的 作用 在 于 打 乱 原来 输入 m 的 
ASCII 码 字 划分 关系 。 





置换 码 组 (64 位 ) 


| 


48 16 56 24 64 32 
47 15 55 23 63 31 
46 14 54 22 62 30 
45 13 3 21 人 23 
4 12 52 20 60 28 
43 11 51 19 59 27 
42 10 50 18 58 26 
41 9 49 17 57 25 


| 


密 文 (64 位 ) 
1，2, …， 64 


图 3-10 ” 逆 初 始 置换 IP- 
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逆 初 始 置 换 后 得 到 的 64 位 数据 分 组 , 即 为 加 密 后 得 到 的 密 文 。 
5. DES 的 解密 


解密 算法 与 加 密 算法 相同 ,只 是 子 密 钥 的 使 用 次 序 相反 。 把 64 位 密 文 当 作 输入 ,第 一 
次 解密 迭代 使 用 子 密 钥 As ,第 二 次 解密 迭代 使 用 子 密 钥 es ,第 16 次 解密 迭代 使 用 子 密 钥 
ki ,最 后 的 输出 便 是 64 位 的 明文 。 


323 DES 的 安全 性 


DES 的 出 现 是 密码 学 史上 的 一 个 创举 ,以 前 任何 设计 者 对 于 密码 体制 及 其 设计 细节 都 
是 严 加 保密 的 。 而 DES 公开 发 表 , 任 人 研究 和 分 析 。 无 须 经 过 许可 就 可 以 制作 DES 的 芯 
片 和 以 DES 为 基础 的 保密 设备 。DES 的 安全 性 完全 依赖 于 所 用 的 密 钥 。DES 在 20 多 年 
的 应 用 实践 中 ,没有 发 现 严 重 的 安全 缺陷 ,在 世界 范围 内 得 到 了 广泛 的 应 用 ,为 确保 信息 安 
全 做 出 了 不 可 磨灭 的 贡献 。 

然而 ,出 于 安全 方面 的 考虑 ,在 DES 被 采纳 为 标准 之 前 , 曾 受到 过 激烈 的 批评 ,其 实 直 
到 今天 都 未 平息 。 批 评 主要 集中 在 两 个 方面 ,其 一 ,DES 的 前 身 是 IBM 公司 的 LUCIFER 
算法 ,该 算法 采用 的 密 钥 长 度 是 128 位 ,而 DES 却 只 使 用 了 56 位 的 密 钥 , 减 少 了 72 位 。 批 
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评 者 担心 密 钥 太 短 而 无 法 抗击 穷 举 攻击 ; 其 二 ,DES 的 内 部 结构 , 即 S 盒 的 设计 标准 被 列 和 人 
官方 机 密 。 所 以 ,用 户 不 能 确信 DES 的 内 部 结构 是 没有 弱点 的 ,美国 国家 安全 局 (NSA) 有 
可 能 利用 这 些 弱 点 在 没有 密 钥 的 情况 下 解密 。 不 过 近年 来 的 差分 分 析 方 面 的 研究 表明 ， 
DES 的 内 部 结构 是 强健 的 。 而 且 按照 IBM 的 参与 者 所 说 ,原始 算法 中 唯一 做 过 改动 的 就 是 
S 盒 ,这 是 由 NSA 建议 的 , 它 去 掉 了 测试 过 程 中 发 现 的 一 些 算法 脆弱 性 。 

自从 DES 问世 至 今 已 经 有 30 多 年 了 ,尽管 一 开始 人 们 就 对 它 有 颇 多 的 担心 和 争议 ,这 
些 年 来 许 许多 多 的 人 对 它 进 行 各 种 各 样 的 研究 攻击 。 从 目前 的 成 果 来 看 ,除了 穷 举 攻击 之 
外 ,就 没有 更 好 的 方法 破译 DES 了 。 

从 应 用 实践 来 看 ,DES 具有 良好 的 “雪崩 效应 ”*。 所 谓 雪崩 效应 ,就 是 明文 或 密 钥 的 微 
小 改变 将 对 密 文 产生 很 大 的 影响 。 特 别 地 ,明文 或 密 钥 的 某 一 位 发 生变 化 ,会 导致 密 文 的 很 
多 位 发 生变 化 。 

DES 显示 了 很 强 的 雪崩 效应 ,如 通过 实验 可 以 发 现 , 两 条 仅 有 一 位 不 同 的 明文 ,使 用 相 
同 的 密 钥 , 仅 经 过 3 轮 和 迭代 ,所 得 两 段 准 密 文 就 有 21 位 不 同 ; 一 条 明文 ,使 用 两 个 仅 一 位 不 
同 的 密 钥 加 密 ,经 过 数 轮 变换 之 后 ,有 半数 的 位 都 不 相同 。 

当然 ,DES 也 存在 着 一 些 有 可 能 被 利用 的 弱点 ,如 : 

(1) 密 钥 较 短 : 56 位 密 钥 空间 约 为 7.2X108。1997 年 6 月 Rocke Verser 小 组 通过 因 
特 网 利用 数 万 台 微 机 历时 4 个 月 破译 了 DES; 1998 年 7 月 ,EFF 用 一 台 25 万 美元 的 机 器 ， 
历时 56 小 时 破译 了 DES。 

(2) 存在 弱 密 钥 : 有 的 密 钥 产生 的 16 个 子 密 钥 中 有 重复 者 。 

(3) 互补 对 称 性 : C= 二 DES(M,K), 则 C'=DES(M',K')。 其 中 ,M',C',K' 是 M,C,K 
的 非 。 

多 年 来 对 DES 进行 的 大 量 研究 ,主要 成 果 集 中 在 以 下 几 个 方面 。 


1. 弱 密 钥 


DES 算法 在 每 次 迭代 时 都 有 一 个 子 密 钥 供 加 密 用 ,如 果 一 个 外 部 密 钥 所 产生 的 所 有 子 
密 钥 都 是 一 样 的 , 则 这 个 密 钥 就 称 为 弱 密 钥 (weak key) 。 
车 为 弱 密 钥 , 则 有 
DES (DESi(x))= x 
DES (DESi'(z)) = x 
即 以 & 对 xz 加 密 或 解密 两 次 都 可 以 恢复 出 明文 ,其 加 密 运 算 和 解密 运算 没有 区 别 。 
如 果 随 机 选取 密 钥 ,在 总 数 2” 个 密 钥 中 , 弱 密 钥 所 占 比例 很 小 ,加 以 注意 就 可 以 避 开 ， 
对 DES 的 安全 性 影响 不 大 。 


2. 密 文 与 明文 , 密 文 与 密 钥 的 相关 性 


有 人 详细 研究 了 DES 的 输入 ,表明 每 个 密 文 位 都 是 所 有 明文 位 和 所 有 密 钥 位 的 复合 函 
数 ,并 且 指 出 达到 这 一 要 求 所 需 的 迭代 次 数 最 少 为 5, 迭 代 8 次 以 后 输出 和 输入 就 可 认为 是 
不 相关 的 了 。 


3. 密 钥 搜索 机 
对 DES 的 安全 性 的 意见 中 ,较为 一 致 的 看 法 是 DES 的 密 钥 短 了 些 , 密 钥 长 度 是 56 位 ， 
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密 钥 量 为 2*<7. 2X10* 个 ,选择 长 密 钥 时 会 使 成 本 提高 .运行 速度 降低 ,车 要 对 DES 进行 
密 钥 搜索 破译 ,分 析 者 在 得 到 一 组 明文 - 密 文 对 的 情况 下 ,可 对 明文 进行 不 同 的 密 钥 加 密 , 直 
到 得 到 的 密 文 与 已 知 的 密 文 -明文 对 中 的 相符 就 可 确定 所 用 的 密 钥 了 。 

1977 年 Differ 和 Hellman 认为 利用 100 万 个 超大 规模 集成 电路 块 所 组 成 的 一 台 专 门 
用 于 破译 DES 的 并 行 计算 机 能 在 一 天 中 穷 举 搜索 所 有 2” 个 密 钥 , 每 个 集成 块 每 微 秒 检查 
一 个 密 钥 , 则 每 天 可 以 检查 8. 64X10” 个 密 钥 。 如 果 用 一 个 集成 块 检 查 全 部 密 钥 , 则 几乎 要 
花费 8.33X105 天 , 约 2283 年 。 

但 是 如 果 用 100 万 个 集成 块 , 则 在 一 天 时 间 内 可 以 检查 整个 密 钥 空间 。 这 样 一 台 机 器 
在 1977 年 需 耗 资 约 2000 万 美元 。Differ 和 Hellman 据 此 指出 ,除了 像 美 国 国家 安全 局 那 
样 的 机 构 外 ,任何 人 不 可 能 破译 DES。 但 他 们 预测 到 1990 年 制造 和 破译 DES 专用 机 的 成 
本 将 要 大 幅度 下 降 , 那 时 DES 将 完全 是 不 安全 的 。 

事实 证 明 ,他们 的 预测 是 有 道理 的 ,在 过 去 相当 长 的 一 段 时 间 里 ,人 们 找 不 到 比 穷 举 搜 
索 更 有 效 的 方法 攻击 DES。 也 没有 能 力 对 56 位 的 密 钥 进行 穷 举 搜索 ,因而 在 过 去 ,DES 是 
安全 的 ,但 目前 的 事实 证 明 这 个 历史 已 成 为 过 去 ,DES 不 能 经 受 住 穷 举 攻击 。 


324 多 重 DES 


DES 在 穷 举 攻击 下 相对 比较 脆弱 ,因此 需要 用 某 种 算法 替代 它 , 有 两 种 解决 方法 。 其 
一 ,设计 全 新 的 算法 ; 其 二 ,用 DES 进行 多 次 加 密 , 且 使 用 多 个 密 钥 , 即 多 重 DES, 这 种 方法 
能 够 保证 用 于 DES 加 密 的 已 有 软件 和 硬件 继续 使 用 。 


1. 二 重 DES 


二 重 DES 的 加 密 与 解密 过 程 如 图 3-11 所 示 。 给 定 明 文 P 和 两 个 加 密 密 钥 R， 和 ks , 采 
用 DES 对 P 进行 加 密 玉 ,有 
密 文 C= Ex (En (P)) 
对 C 进行 解密 DD ,有 
明文 已 = Da (Dis(C)) 
显然 ,二 重 DES 比 单一 的 DES 要 安全 ,因为 这 里 使 用 了 两 个 密 钥 ( 均 为 56 位 ) , 设 一 
hs, 则 的 密 钥 空间 数量 为 22? 。 


Ft 
五 -一 “| Ek | -| CC- 一 “| D 2 D ~ 
(a) 加 密 (b) 解密 






































图 3-11 二 重 DES 


这 里 要 注意 ,如 果 采 用 普通 穷 举 法 来 攻击 二 重 DES, 其 攻击 代价 并 不 是 2”。 这 是 因为 
一 个 分 组 为 64 位 ,明文 空间 为 2” ,而 密 钥 空间 为 2”。 因 此 对 于 某 个 明文 P, 可 产生 密 文 C 
的 密 钥 平均 个 数 为 222 12 一 2 个 。 换 句 话说 ,大 约 有 22 个 不 同 的 密 钥 ,对 明文 P 加 密 后 
得 到 的 密 文 相同 且 都 等 于 C。 这 就 需要 另 一 个 (P,C) 对 ,以 从 这 天 个 不 同 的 密 钥 中 确定 真 
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正 的 密 钥 。 因 此 总 的 计算 代价 为 222 十 248 。 

但 是 ,如 果 采 用 “中 间 相 遇 攻 击 ”(meet-in-the-middle attack) 攻 击 二 重 DES, 则 可 以 大 
大 减少 攻击 代价 。 

从 图 3-11 可 以 看 出 : X=En(P)=Di(C)。 

车 给 出 一 个 已 知 的 明 - 密 文 对 (P,C) ,分别 用 2* 个 所 有 密 钥 对 明文 P 进行 加 密 , 得 
到 一 张 密 钥 对 应 于 密 文 X 的 表 ; 类 似 地 ,对 2” 个 所 有 可 能 的 密 钥 ,对 密 文 C 进行 解密 ,得 
到 相应 的 “明文 ?X ,做 成 一 张 X 与 &, 的 对 应 表 。 比 较 两 个 表 中 X 相同 的 项 ,就 会 得 到 真正 
使 用 的 密 钥 对 ,Rk。。 可 以 看 出 ,计算 代价 为 2” 十 2% 二 25? 。 


2. 三 重 DES 


对 付 中 间 相 遇 攻 击 的 一 个 有 效 的 方法 是 使 用 三 重 DES。 
1) 使 用 两 个 密 钥 的 三 重 DES 
Tuchman 建议 仅 使 用 两 个 密 钥 进行 三 次 加 密 , 并 给 出 了 双 密 钥 的 EDE 模式 (加 密 - 解 
密 -加 密 ) ,如 图 3-12 所 示 。 
对 PP 加 密 : C= En (Di (En(P))) 
对 C 解密 : P = Da (Ei (Da (C))) 


J a 


Pp 4A B 1C C B 4 x 
| 


~ EF ~ DD -| EF 广 一 -| DD ~ EF -| DD [2 


















































(a) 加 密 (b) 解密 
图 3-12 使 用 两 个 密 钥 的 三 重 DES 


其 中 ,E 为 加 密 运算 ,D 为 解密 运算 。 

这 种 替代 DES 的 加 密 较为 流行 并 且 已 被 采纳 用 于 密 钥 管理 标准 (The Key Manager 
Standards ANSX9. 17 和 ISO8732)。 到 目前 为 止 ,还 没有 人 给 出 对 上 述 三 重 DES 的 有 效 攻 
击 方法 。 对 其 密 钥 空间 中 密 钥 进行 穷 举 搜索 ,由 于 空间 太 大 (为 2 于 一 5X103) ,这 实际 上 是 
不 可 行 的 。 

Merkle 和 Hellman 设法 创造 一 个 条 件 , 想 把 中 间 相 遇 攻 击 的 方法 用 于 三 重 DES, 但 目 
前 也 不 太 成 功 。 

2) 使 用 三 个 密 钥 的 三 重 DES 

虽然 对 上 述 带 双 密 钥 的 三 重 DES 到 目前 为 止 还 没有 好 的 实际 攻击 办 法 ,但 人 们 还 是 放 
心 不 下 ,又 建议 使 用 三 密 钥 的 三 重 DES, 此 时 密 钥 总 长 为 168 位 。 加 解密 过 程 如 图 3-13 


所 示 。 
. | 四 | je 
= 已 = DD BE | 一 2] D B | E 4,.| Db 2 
(a) 加 密 (b) 解密 


图 3-13 ”使 用 三 个 密 钥 的 三 重 DES 
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加 密 : C = Ei (Di (En (P))) 
解密 : P = Da (Ei (Dis (P))) 
在 实际 应 用 中 ,应 根据 具体 安全 需求 确定 到 底 是 使 用 两 个 密 钥 还 是 三 个 密 钥 的 三 重 
DES, 因 为 安全 性 能 越 高 , 则 付出 的 计算 代价 和 密 钥 管理 成 本 也 越 高 。 


33 高 级 加 密 标准 AES 
331 AES 概 述 


3DES 的 根本 缺点 在 于 用 软件 实现 该 算法 的 速度 比较 慢 。 起 初 ,DES 是 为 20 世纪 70 年 代 
中 期 的 硬件 实现 设计 的 ,难以 用 软件 有 效 地 实现 该 算法 。 在 3DES 中 轮 的 数量 是 DES 的 三 倍 ， 
所 以 其 速度 比 DES 要 慢 得 多 。 另 一 个 缺点 是 DES 和 3DES 的 分 组 长 度 均 为 64 位 ,从 运算 效率 和 
安全 性 考虑 ,分 组 长 度 应 该 更 大 。 由 于 这 些 原因 ,DES 和 3DES 不 可 能 长 期 成 为 加 密 算法 标准 。 


1. AES 应 满足 的 需求 


1997 年 1 月 ,美国 国家 标准 局 向 全 世界 密码 学 界 发 出 征集 21 世纪 高 级 加 密 标 准 
(advanced encryption standard, AES) 算 法 的 公告 ,要 求 AES 的 安全 性 能 不 能 低 于 3DES， 
同时 应 具有 更 好 的 执行 性 能 。 除 了 这 些 通常 的 要 求 之 外 ,NIST 特别 提出 了 AES 必须 是 分 
组 长 度 为 128 位 的 对 称 分 组 密码 ,并 能 支持 长 度 为 128 位 、192 位 和 256 位 的 密 钥 。 对 AES 
候选 算法 进行 评估 筛选 时 主要 考虑 以 下 3 个 方面 : 

(1) 安全 性 : 指 用 密码 分 析 方 法 分 析 一 个 算法 的 代价 。 评 估 的 重点 在 于 能 否 防止 实际 
的 攻击 。AES 要 求 最 短 密 钥 长 度 为 128 位 , 故 使 用 目前 技术 的 穷 举 攻击 方式 是 不 可 行 的 。 

(2) 成 本 : NIST 希望 AES 能 够 广泛 地 应 用 于 各 种 实际 应 用 ,所 以 AES 必须 具有 很 高 
的 计算 效率 ,以 便 其 能 用 于 各 种 高 速 应 用 。 

(3) 算法 和 执行 特征 : 它 包含 了 各 方面 需要 关注 的 事项 ,如 算法 灵活 性 、 算 法 适合 于 多 
种 硬件 和 软件 方式 实现 .算法 的 简洁 性 ,以 便于 分 析 算 法 的 安全 性 。 


2. AES 算法 的 产生 


1998 年 4 月 15 日 全 面 征集 AES 算法 的 工作 结束 。1998 年 8 月 20 日 举行 了 首届 AES 
讨论 会 ,对 涉及 14 个 国家 的 密码 学 家 所 提出 的 候选 AES 算法 进行 了 评估 和 测试 , 初 选 并 公 
布 了 15 个 被 选 方案 , 供 大 家 公开 讨论 。 这 些 算 法 是 


CAST-256 RC6 CRYPTON DEAL FROG 
DFC LOKI97 MAGENTA MARS HPC 
Rijndael Safer 十 Serpent E2 Twofish 


这 些 算法 设计 思想 新 颖 ,技术 水 平 先进 ,算法 的 强度 都 超过 3DES, 实 现 速度 快 于 3DES。 
1999 年 8 月 9 日 ,美国 国家 标准 局 宣布 第 二 轮 筛选 出 的 5 个 候选 算法 为 : 

。 MARSCIBM ,美国 ) 

。 RC6 (RSA Lab ,美国 ) 

。 Rijndael(Joan Daemen 和 Vincent Rijmen ,比利时 ) 
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。 Serpent(Ross Anderson,Eli Biham 和 Lars Knudsen, 英 国 \ 以色列 挪威 ) 

。 Twofish(Bruce Schneier, 美 国 ) 

2000 年 10 月 2 日 ,NIST 正式 宣布 将 Rijndael 作为 AES 标准 的 加 密 算法 ,以 下 是 
NIST 对 Rijndael 算法 的 最 终 评估 结果 。 

(1) 一 般 安全 性 : 没有 已 知 的 攻击 方法 能 攻击 Rijndael。 它 以 S 盒 作为 非 线性 组 件 , 表 
现 出 了 足够 的 安全 性 能 。 

(2) 软件 执行 : Rindael 非常 利于 在 包括 8 位 和 64 位 以 及 DSP 在 内 的 各 种 平台 上 执行 的 
加 密 和 解密 算法 。Rijndael 固有 的 分 布 执行 机 制 能 够 充分 有 效 地 利用 处 理 器 资源 ,甚至 在 不 能 
分 布 执行 的 模型 下 仍 能 达到 非常 好 的 软件 执行 性 能 。 同 时 ,Rijndael 的 密 钥 安装 速度 非常 快 。 

(3) 受 限 空间 环境 : Rijndael 非常 适合 在 受 限 空间 环境 中 执行 加 密 或 解密 操作 ,对 
RAM 和 ROM 的 要 求 很 低 。 在 这 样 的 环境 中 ,如 果 既 要 执行 加 密 操 作 又 要 执行 解密 操作 ， 
则 其 缺陷 是 它 需 要 更 大 的 ROM 空间 ,因为 加 密 和 解密 的 主要 步骤 是 不 同 的 。 

(4) 硬件 执行 : 在 最 后 的 5 个 候选 算法 中 ,Rijndael 在 反馈 模型 下 执行 的 速度 最 快 ,在 
非 反 馈 模 型 下 的 执行 速度 位 居 第 二 。 但 当 该 算法 的 密 钥 长 度 为 192 位 和 256 位 时 , 因 执 行 
的 轮 数 增加 ,其 执行 速度 变 慢 。 当 用 完全 的 流水 线 实现 时 ,该 算法 需要 更 多 的 存储 空间 ,但 
不 影响 其 执行 速度 。 

(5) 对 执行 的 攻击 : Rijndael 所 采用 的 实现 方式 非常 利于 防止 能 量 攻击 和 计时 攻击 。 
与 其 他 候选 算法 相 比 ,Rijndael 算法 利用 掩 码 技术 使 其 具有 防止 这 些 攻击 的 能 力 , 并 未 显著 
降低 该 算法 的 执行 性 能 。 同 时 , 它 对 RAM 的 需求 仍 在 合理 的 范围 内 。 当 使 用 这 些 攻击 措 
施 时 ,Rijndael 比 其 他 的 候选 算法 在 执行 速度 上 更 有 优势 。 

(6) 加 密 与 解密 : Rijndael 的 加 密 函 数 和 解密 函数 不 同 。 尽 管 在 解密 算法 中 密 钥 安装 
速度 比 在 加 密 算法 中 速度 要 慢 , 但 Rijndael 执行 加 密 和 解密 算法 的 速度 差不多 。 

(7) 密 钥 灵活 性 : Rijndael 支持 加 密 中 的 快速 子 密 钥 计 算 。Rijndael 要 求 在 加 密 前 用 
特定 密 钥 产生 子 密 钥 ,这 给 Rijndael 的 密 钥 灵活 性 稍微 增加 了 一 点 资源 负担 。 

(8) 其 他 的 多 功能 性 和 灵活 性 : Rijndael 支持 分 组 和 密 钥 长 度 分 别 为 128 位 、192 位 和 
256 位 的 各 种 组 合 。 原 则 上 ,Rijndael 算法 结构 能 通过 改变 轮 数 来 支持 任意 长 度 为 32 的 倍 
数 的 分 组 和 密 钥 长 度 。 

(9) 指令 级 并 行 执行 潜力 : Rijndael 对 于 单个 分 组 加 密 有 很 好 的 并 行 执行 能 力 。 


332 AES 加 密 数 学 基础 


AES 是 以 严 间 的 数学 理论 为 基础 的 ,下 面 介绍 其 数学 基础 。 
1. 群 


群 是 一 个 代数 系统 , 它 由 一 个 非 空 集合 G 组 成 ,在 集合 G 上 定义 了 一 个 二 元 运算 ,其 满足 : 
(1) 封闭 性 , 即 对 任意 的 a,b€EG.a* bEG。 

(2) 结合 律 , 即 对 任何 的 a,b,cEG, 有 a*b*c=(a*b)*c=a* (be)。 

(3) 单位 元 , 即 存在 一 个 元 素 1EG( 称 为 单位 元 ) ,对 任意 元 素 a€G 有 a，1=1* a=a。 
(4) 道 元 , 即 对 任意 <cEG, 存 在 一 个 元 素 a ! EG( 称 为 逆 元 ) ,使 得 a*a 1=a !*a=1。 
我 们 把 满足 上 面 性 质 的 代数 系统 称 为 群 , 记 做 二 G, 二。 
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若 群 二 G,，* 二 还 满足 交换 律 , 即 对 任何 wa,oEG 有 : a* 5 二 5*a, 则 称 G 为 交换 群 (或 
加 法 群 . 阿 贝尔 群 等 ) 。 

若 集 合 G 中 只 含有 有 限 多 个 元 素 , 则 我 们 称 二 G,。… 之 为 有 限 群 ,此 时 ,把 集合 G 中 元 素 
的 个 数 称 为 有 限 群 G 的 阶 。 

群 的 性 质 如 下 : 

(1) 群 中 的 单位 元 是 唯一 的 。 

(2) 消去 律 成 立 , 即 对 任意 的 a,b,cEG, 如 果 ap=ac, 则 0 一 c; 如 果 ba 二 ca, 则 5b=c。 

(3) 群 中 的 每 一 元 素 的 逆 元 是 唯一 的 。 


2. 有 限 域 


域 是 一 个 代数 系统 ,由 一 个 (至 少 包含 两 个 元 素 的 ) 非 空 集合 下 组 成 ,在 集合 下 上 定义 
有 两 个 二 元 运算 : 加 法 (用 符号 “十 "表示 ) 和 乘法 (用 符号 *。 ”表示 ,有 时 可 以 将 a* 6。 简写 
成 a5), 并 满足 下 面条 件 : 
(1) 下 的 元 素 关于 加 法 “十 ”成 交换 群 , 记 其 单位 元 为 0( 称 为 域 的 零 元 ) 。 
(2) 下 关于 乘法 “。 ”成 交换 群 , 记 其 单位 元 为 1( 称 其 为 域 的 单位 元 ) 。 
(3) 乘法 在 加 法 上 满足 分 配 律 , 即 对 任意 的 a,b,cEF, 有 
a* (b+ce) 一 ap 十 ac 
(ae 十 p)。c 王 ac 十 pc 
把 满足 上 面 性 质 的 代数 系统 称 为 域 下 ,并 记 为 <F, 十 ,* 二 。 
若 集合 下 只 包含 有 限 个 元 素 , 则 称 这 个 域 已 为 有 限 域 ,也 称 为 伽 罗 华 域 或 Galois 域 。 
有 限 域 中 元 素 的 个 数 称 为 该 有 限 域 的 阶 。 
若 有 一 任意 的 素数 P 和 正 整 数 nE€ 2Z7* ,存在 P" 阶 有 限 域 ,这 个 有 限 域 记 为 GF(P")。 
当 n= 二 1 时 ,有 限 域 GF(P) 称 为 素 域 。 
有 限 域 元 素 表示 方法 有 很 多 种 ,而 不 同 的 表示 方法 可 能 带 来 计算 上 效率 的 一 些 差 别 。 


域 二 F, 十 , . 汪 > 上 zz 的 多 项 式 a (xz), 定义 为 a(z) 一 anz"* 十 az 十 … 十 Qizl 十 ao( 简 








记 为 az] 的 表达 式 ,其 中 EN aovai sa E FF. 车 a 天 0, 称 为 该 多 项 式 的 次 数 ,并 


称 w 为 首 项 系数 。 首 项 系数 为 一 的 多 项 式 称 为 首 1 多 项 式 , 称 0 为 一 吕 次 多 项 式 , 其 中 0 和 
1 分 别 为 F 的 零 元 和 单位 元 .FR 上 的 xz 的 多 项 式 的 全 体 组 成 的 集合 记 为 F(z) ,多 项 式 a(x) 
的 次 数 记 为 deg(a(z))。 

域 一 下, 十。 之 上 关于 工 的 多 项 式 的 加 法 “四 ”和 乘法 “@” 运算 定义 如 下 , 设 有 多 项 式 


azr) = a 和 b(zx) 一 SJ6.z', 则 有 


M 
加 法 田 : a(z) 四 bz) = > (a + bz 


tm 


乘法 @: a(z) @ bx) = py 。 bj 


i=0 \ j=0 


其 中 ,M = max(m,n) 为 n 和 m 中 较 大 者 , 当 ;i 二 2 时 , 取 a 二 0; 当 i 放 mw 时 , 取 b 二 0。 
任何 有 限 域 都 可 以 用 与 它 同 阶 的 多 项 式 域 表 示 。 由 于 在 密码 学 中 ,最 常用 的 域 一 般 为 素 
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域 (限制 = 1) 或 者 阶 为 2” 的 有 限 域 。 
3. GF (2°) 域 上 的 多 项 式 表 示 及 运算 


根据 有 限 域 的 知识 , 一 个 不 可 约 多 项 式 可 以 构成 一 个 有 限 域 . 在 AES 加 密 系统 中 ， 
GF (2s) 是 在 不 可 约 多 项 式 m(zx) = 二 式 十 x 十 十 ZX 十 1 上 构造 的 有 限 域 二 F(z)wws ,十 二。 
一 个 字 节 的 GF (2) 元 素 的 二 进 制 展开 成 的 多 项 式 系数 为 bi6566bs645352015o, 即 
2 十 bz 十 65z5 十 bz 十 bzs 十 bz2 十 Dr 十 pozo 
例如 ,GF(2) 上 的 37( 为 十 六 进 制 ) ,其 二 进 制 为 00110111 ,对 应 多 项 式 为 
25 十 zt 十 zz 十 zl 十 1 





下 面 介绍 多 项 式 的 运算 。 
1) 加 法 
加 法 运算 就 是 以 字 节 为 单位 进行 比特 异 或 运算 。 如 十 六 进 制 37 十 83 王 B4, 采 用 二 进 制 
表示 为 00110111 十 10000011 王 10110100; 采用 多 项 式 表示 为 
(十 Xt 十 十 z 十 1) 十 (xz? 十 x 十 1)= 二 十 x 十 xX 十? 


2) 模 运 算 D+x 

多 项 式 模 运算 与 实数 域 上 的 多 项 式 除法 基本 相同 ,但 采用 以 字 节 ebprlJ viper 
为 单位 的 比特 异 或 运算 来 进行 。 例 如 ,37 mod (07) 二 01; 采用 多 项 
式 运算 有 (x; 十 x 十 xz? 十 x 十 1) mod (x? 十 x 十 1)= 二 1, 这 里 采用 长 除 tety 
法 进行 运算 ,如 图 3-14 所 示 。 ! 

3) 乘法 运算 图 3-14 多 项 式 长 除法 


例如 ,57X83 二 C1, 多 项 式 表 示 为 
(zs 十 Xt 十 XT 十 ZX 十 1)(x? 十 X 十 1) mod (m(zx)) 
一 (zl 十 za 十 ze? 十 zs 十 zs 十 z5 十 zt 十 zs 十 1) mod 
(zs 十 4 十 zs 十 并 十 1) = 二 x? 十 zs 十 1( 表 示 为 十 六 进 制 为 C1) 
4) xz 乘法 运算 
工 乘 以 6(z), 则 有 brzs 十 bez' 十 bs 十 by 十 ba 十 bo 十 bx? 十 boz, 青 将 此 式 模 m(z) 
即 为 所 求 。 这 个 x 乘法 (z 的 十 六 进 制 为 02) 运 算 相 当 于 将 5b(z) 表 示 的 字 节 循环 左 移 一 位 
(如 6; 二 0) ,或 将 其 与 11B 比特 异 或 来 实现 。 例 如 ,57X02==AE。 


4. GF (23)* 域 上 的 多 项 式 表示 及 运算 


在 AES 加 密 系统 中 ,GF (2*)* 是 在 不 可 约 多 项 式 M(Cz) 一 习 十 1 上 构造 的 有 限 域 : 
二 FCz)wo ,由 ,四 >。 在 这 个 有 限 域 上 ,一 个 4 个 字 节 的 字 ( 有 32 位 ) 可 以 看 作 是 GF(2)* 
域 上 的 多 项 式 , 每 个 字 对 应 于 一 个 次 数 小 于 4 的 多 项 式 。 

两 个 GF(2s)* 域 上 的 元 素 相 加 时 ,将 这 两 个 元 素 对 应 多 项 式 系数 相 加 即 得 到 结果 , 相 
加 时 采用 比特 异 或 来 实现 。 

两 个 GF(2*)* 域 上 的 元 素 相 乘 时 ,要 将 结果 对 一 个 特定 的 多 项 式 取 模 ,以 使 相 乘 后 的 
结果 还 是 一 个 4 字 节 的 向 量 。 这 个 特定 的 多 项 式 为 M(z) 一 zx! 十 1。 例 如 , 若 在 GF(2*)* 域 
上 有 两 个 多 项 式 为 : ae(z) 王 aszs 十 azzz 十 aiz 二 ao bz) 一 pz 十 bz 十 Di 十 bo, 则 有 

cx) 一 ar) Ob(r) 一 (cez 十 csz 十 cz 十 caz 十 cz 十 cz 十 co) mod CMCz)) 
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这 里 ,有 ce 一 cs。p; co 二 ao * bo; ci 一 a。 加 四 co * bi; cs=as 。 加 中 ua。 站 中 co * bo; 
cs=a3 * bo Das * bi Da 六 由 oo bi ci 一 ca 中 co 及 由 co. bs; cs=as* bs Das bs。 
由 于 zz mod (zt 十 1) 二 zm, 上 式 化 简 为 d(x) 二 a(z)@b(z) 二 ds 十 ds 十 dizx 十 do ,其 中 

do=a bo Das hDab Darb;di=a:b Da eb Das ba .bs 
di =as* bo Dah Da 和 四 op 一 加 四 oo 六 四 六 四 oo 入 
这 个 变换 用 矩阵 表示 为 









































cava | |s 
CA， 7)=|, |= 


2 da a ao as ||b 
ds aa as a daojlbs 
在 AES 加 密 系 统 中 ,采用 一 个 具有 逆 元 的 固定 多 项 式 
a(z) = {03}zs 十 {01)z2 十 {01})z 十 {02} 
进行 这 样 的 乘法 ,从 而 保证 了 乘法 的 可 道 性 。 其 逆 元 为 
az) = {0b}z’ 二 {0d}z? 二 {09}z++ {0e} 
使 得 a(x)C@a !'(z)= {01}。 
工 乘法 运算 为 
Xx: bx) 一 bz 十 Diz2 十 pozr 十 D 
该 式 相当 于 将 b(x) 所 表示 的 字 左 循环 移 i 位 。 


333 AES 加 密 原理 


AES 采 用 分 组 密码 体制 ,分 组 长 度 可 以 有 3 种 选择 , 即 128、192 和 256 位 。 如 果 用 N。， 
表示 分 组 长 度 , 单 位 为 32 位 字 , 那 么 3 种 分 组 长 度 可 表示 为 N, 一 4、6、8。 

同样 ,加 密 密 钥 也 可 以 有 3 种 选择 , 即 128、192 和 256 位 。 如 果 用 Ne 来 表示 密 钥 长 
度 ,单位 为 32 位 字 , 那 么 3 种 密 钥 长 度 可 表示 为 Ni 一 4、6、8。 

与 其 他 分 组 密码 一 样 ,AES 也 是 通过 若干 轮 连续 的 迭代 来 对 明文 进行 加 密 的 。 根 据 分 
组 长 度 和 密 钥 长 度 的 不 同 ,具体 迭代 的 轮 数 也 不 一 样 ,对 应 上 面 的 3 种 分 组 长 度 和 密 钥 长 
度 ,迭代 次 数 N, 见 表 3-3。 

表 3-3 ”加密 轮 数 N, 的 取 值 





NN, 的 取 值 N,=4 N,=6 N,=8 
N:=4 10 12 14 
N:=6 12 12 14 
Mi=8 14 14 14 


在 每 一 轮 迭 代 中 ,包括 4 步 变 换 , 分 别 是 字 节 代 换 运算 (ByteSub())\ 行 移 位 (ShiftRows())、 
列 混合 (MixColumns()) 以 及 轮 密 钥 加 变换 (AddRoundKey()) .其 作用 就 是 通过 重复 简单 
的 非 线 性 变换 混合 函数 变换 ,将 字 节 代 换 运算 产生 的 非 线性 扩散 ,达到 充分 的 混合 ,使 加 密 
后 的 分 组 信息 统计 特性 分 布 更 均匀 ,在 每 轮 迭 代 中 引入 不 同 的 密 钥 , 这 样 便 以 最 简单 的 运算 
代价 得 到 最 好 的 加 密 效果 ,实现 加 密 的 有 效 性 。 

以 一 个 128 位 的 分 组 采用 128 位 的 密 钥 为 例 , 其 整个 加 密 过 程 如 图 3-15 所 示 。 
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列 混合 














轮 密 钥 加 w[36, 39] 
tt hd <“ 
| 第 10 轮 | 
| | 
| 行 移 位 | 
上 
! | 
| 轮 密 组 加 。 |= 一 wl40, 43] 


密 文 
3-15 AES 分 组 加 密 


其 中 ,最 后 一 轮 与 其 他 轮 有 所 不 同 ,没有 * 列 混合 ?步骤 。 

下 面 以 一 个 128 位 的 分 组 采用 128 位 的 密 钥 加 密 为 例 , 分 别 介绍 轮 变 换 中 的 4 个 步骤 。 

在 进行 变换 之 前 ,首先 将 128 位 的 明文 分 组 以 字 节 为 单位 写 入 一 个 矩阵 中 ,这 个 和 矩阵 称 
为 “状态 ”: 





S | S | Se | Si 
S | S$ | S$， | Se 
S: | So | So | Su 
S: | S$ | Su | Se 





























状态 矩阵 有 4 行 , 列 数 不 定 (128 位 为 4 列 ,192 位 为 6 列 ,256 位 为 8 列 ) ,每 个 单元 格 
存放 一 个 字 节 ,每 一 列 就 是 一 个 32 位 字 。 以 后 所 有 的 变换 都 是 基于 这 个 矩阵 进行 的 ,到 此 ， 
准备 工作 已 经 完成 。 


48 信息 安全 原理 及 应 用 (第 3 版 ) 





1. 字 节 代 换 运算 (SubByte()) 


字 节 代 换 运算 SubByte() 为 可 逆 的 非 线性 字 节 代 换 操作 ,操作 元 素 为 状态 中 的 单个 字 
节 ( 即 每 个 格子 ) ,对 字 节 的 操作 遵循 一 个 代 换 表 如 表 3-4, 即 S 盒 。S 盒 由 有 限 域 GF (2*) 上 
的 乘法 取 逆 和 仿 射 变换 两 步 构成 。 

若 2Cz)EGF(2) ,其 逆 为 Crz)EGF(C23), 则 有 2Cz) 01Cz) 一 1 mod (m(x)), 这 里 
m(z) 二 =z 十 zt 十 十 x 十 1。 如 {f6}( 十 六 进 制 ) 表 示 为 z' 十 zx' 十 zx 十 xz! 十 zx? 十 zx,{03) 表 示 
为 zx 十 1, 显 然 有 {f6}。 {03) 二 1 mod Gm(xz))。 实 际 求 逆 采 用 设 未 知 数 解 方程 组 的 方法 来 实现 。 

有 限 域 GF(2*) 上 的 仿 射 变换 也 对 字 节 进行 操作 , 设 输入 字 节 为 {6;666s6b4630201bo) ,经 
过 仿 射 变换 后 的 输出 字 节 为 4604050403025100}, 则 用 矩阵 来 表示 仿 射 变换 表达 式 为 : 


0 L000 1 Wf 1 
0 Ld 0 OY 1 
bs 和 有 下 0 
的 11110001|2 0 
次 |，| 下 证 下 二 下 三 人 人世 to 
bs (Ws | L 
[A 站 人 | 
0 DLL 1 15 0 


例如 , 求 {f6} 的 SubByteO 〇 变换 。 先 求 其 逆 为 {03), 即 为 {00000011}) ,将 其 带 入 上 式 可 计算 
{GUCCUW) 二 {01000010), 即 为 {42)。 我 们 同样 可 以 用 S 盒 蔡 换 表 实 现 SubByte() 变 换 ， 
先 取 数 {f6} 的 高 低位 对 应 zy 值 为 ,z=f,y=6; 再 查 表 3-4 得 到 第 z 行 第 y 列 ( 即 f 行 6 列 ) 的 
数值 为 {42}。 这 和 分 步 计 算 的 结果 一 样 , 可 以 用 分 步 变换 校对 S 盒 的 正确 性 。 


表 3-4 AES 的 S 盒 替换 表 - 字 节 xy 的 代替 表 ( 用 十 六 进 制 表示 ) 








maocrpeoeoonmmocmanmownbrm 

a 
名 

w 
上 
=] 
oo 
名 
< 
Bg 
© 
全 
ww 
% 
hy 
宁 
TT 
9 

工 
宁 
eo 
色 

ko 
记 
- 
o 
E33 
Ee 
bg 
a 
S 
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2. 行 移 位 变换 CShiftRows()) 


行 移 位 变换 ShiftRows() 是 线性 变换 ,其 目的 就 是 使 密码 信息 达到 充分 的 混乱 ,提高 非 
线性 度 。 行 移 位 变换 在 状态 矩阵 State 的 每 行 间 进行 ,对 每 行 实施 左 循环 移动 ,移动 字 节 数 
根据 行 数 和 密 钥 长 度 来 确定 ,第 零 行 不 发 生 偏 移 , 第 一 行 循环 左 移 Ci 字 节 ,第 二 行 移 C* 字 
节 , 第 三 行 移 Cs 字 节 。 表 3-5 为 移动 字 节 数 。 

表 3-5 行 移 位 变换 字 节 数 





N: C C: Cs 
4 和 2 3 
6 2 3 
8 3 4 








当 Ns 二 4 时 C==1,C: 二 2,Cs 二 3, 行 位 移 变 换 示意 如 图 3-16 。 
























































图 3-16 Ni 二 4 时 行 位 移 变换 示意 


3. 列 混合 变换 (MixColumns()) 


列 混合 是 对 状态 (State) 列 的 一 种 线性 变换 ,状态 每 列 有 4 字 节 , 即 一 个 字 (Su Si,;， 
Sz4iwSs,i) ,其 中 0<i<3,So.;，,S1i,S2,i,S3,; 都 是 字 节 。 一 个 字 在 有 限 域 GF(2s) 上 可 表示 成 
下 面 的 四 项 多 项 式 。 列 变换 就 是 从 状态 中 取出 一 列 ,表示 成 多 项 式 的 形式 Si(z) 王 Si.jz3 十 
Sz,iz ?十 Siiz 十 So,i; ,再 用 它 乘 以 一 个 固定 的 多 项 式 a(x) 二 {03}zx’ 十 {01}z? 十 {01}z 十 {02)， 
然后 将 所 得 结果 进行 取 模 M(x) 二 x! 十 1 运算 。 在 AES 加 密 算法 中 ,由 于 xz 十 1 不 是 有 限 
域 GF(23)* 上 的 不 可 约 多 项 式 , 因 此 ,用 SCz) 乘 以 任意 一 个 四 项 式 的 运算 不 一 定 是 可 道 
的 ,于 是 ,将 a(z) 设 置 成 一 个 固定 的 值 ,以 确保 可 进行 求 逆 运 算 ,a(x) 的 乘法 道 多 项 式 为 : 
a-1(z)={06}z’ 二 {0d}z? 十 {09}z 二 {0e}。 

列 混合 的 算术 表达 式 为 (zx) 二 a(z)@s(z)。 这 个 表达 式 用 和 矩阵 可 表示 为 : 


Soi 02 03 01 011| sc 

si| |01 02 03 01|| sa 

So 01 01 02 03|| sm 

sj Lo3 01 01 02 才 ss 

当 Ns, 二 4 时 ,有 

S00 Sol So Sos Wee, a, a 
Slo Su Sl Sis | Miacom0 | slo si se ss 
2 7 /7 1 7 
S20 S21 S22 S523 S20 521 S22 323 


S30 531 S32 533 S30 3531 332 33 
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4. 轮 密 钥 加 变换 (AddRoundKey()) 


从 图 3-15 中 可 以 看 到 ,AES 的 每 一 轮转 换 中 都 需要 用 到 一 个 轮 密 钥 。 每 个 轮 密 钥 都 
是 128 位 。 当 分 组 长 度 和 密 钥 长 度 都 为 128 位 时 ,AES 的 加 密 算 法 共和 迭 代 10 轮 , 需 11 个 轮 密 
钥 , 即 44 个 32 位 字 (r ,ta ,… ,rss)。 这 些 轮 密 钥 是 通过 对 初始 密 钥 的 扩展 运算 得 来 的 。 

首先 ,将 128 位 的 初始 密 钥 写 入 密 钥 矩 阵 中 : 
ko 有 ks | ki 
k1 ks ks | ks 
k;» ks | ko | Rs 
有 3 k | kn | ks 
































那么 ,wo 二 kokikzks ,rw 一 kakskeki ,tw 一 kskskiokn ,ws =kizskiskukis。 之 后 的 每 个 轮 密 钥 
wi 要 根据 w;-1 和 -4 来 计算 ,如 图 3-17 所 示 。 
























































Wi4 
Wi3 
Wrz 
-| | 
-— Wi | 
imod 4 天 0 imod 4=0 





图 3-17 密 钥 扩展 


当 i 不 是 4 的 倍数 时 ,wi 为 w;-, 和 tw;-1 的 异 或 。 

当 i 是 4 的 倍数 时 , 则 采用 更 复杂 的 计算 方法 : 首先 对 zw- 进行 字 循 环 , 即 将 其 4 个 字 
节 循 环 左 移 一 个 字 节 。 然 后 对 结果 进行 字 节 代 换 , 即 根据 S 盒 对 zi; 的 每 个 字 节 进行 字 节 
转换 。 最 后 再 与 轮 常 量 RC 进行 异 或 运算 。 轮 常量 也 是 一 个 32 位 字 , 但 其 右边 3 个 字 节 总 
为 0。 计 算 每 个 轮 密 钥 用 到 的 轮 常 量 也 不 相同 , 当 分 组 长 度 和 密 钥 长 度 都 为 128 位 时 ,所 用 
到 的 10 个 轮 常量 (最 左边 的 一 个 字 节 ) 如 表 3-6 所 示 


表 3-6 轮 常量 





RC 01 02 04 08 10 20 40 80 1B 36 


在 轮 密 钥 加 变换 中 , 轮 密 钥 的 各 字 节 与 状态 中 的 各 对 应 字 节 分 别 异 或 ,实现 状态 和 密 钥 
的 混合 。 
密 钥 扩展 过 程 的 伪 C 代码 如 下 : 


KeyExpansion ( byte key[4* Mk])，word w[Nbx (Nr+1)],， Mk)// 用 来 产生 轮 密 钥 w 数 组 ,w 以 字 为 单位 
// 原始 密码 key 数组 以 字 节 为 单位 输入 到 函数 中 
word temp; // 定义 一 个 用 来 存放 临时 字 变 量 的 字 
i= 0; 
for (i= 0;i<N;i+t+ ) // 原始 密码 Key 数组 放 到 前 w[0] - w[Wk - 1], 用 来 密 钥 扩 展 
w[i] = Word (key[4 * i], key[4*i+1], key[4*i+2], key[4*i+3]); 
for(i= Nk; i<Nbx (Nr+1); i++ ) 


第 3 章 对称 密码 体制 1 





{ // 扩 展 密 钥 ,分 Kk=4 和 6 或 8 两 种 情况 
temp = w[i—1]; 
if (i % Nk == 0) // % 表示 整数 的 取 模 运 算 
temp = SubWord ( RotWord ( temp ) ) ^ Rcon[ i/ Nk]; //“ 表示 两 个 数 的 按 位 异 或 
else if (Nk == 88&(is% Nk == 4)) // 8& 表示 两 个 数 的 逻辑 与 运算 
temp = SubWord ( temp ); 
w[i] = w[i- Nk] * temp; // 每 次 都 要 进行 异 或 运算 


: 


上 面 的 函数 Word 用 来 将 一 个 字 的 4 字 节 , 按 由 高 到 低 表示 成 一 个 字 ( 高 位 在 前 )。 
RotWord 函数 将 输入 的 一 个 字 aoa1asas (4 字 节 ), 循 环 左 移 一 个 字 节 后 ,重新 组 成 一 个 字 
aazasao 输出 ; SubWord 函数 对 输入 的 字 进 行 SubBytes() 变 换 (S 盒 替 换 ) 后 返回 变换 后 的 
字 。 字 数组 Reon[ 门 由 下 面 的 方法 得 到 : Rcon[ 革 一 word ( RC[ 站 , {00)}, {00}, {00)), 其 
中 RC[ 门 为 xz! 在 GF(2) 域 上 所 代表 的 字 节 数值 。 如 RC[1]==01( 为 xz" 代表 的 字 节 数 )， 
RC[ 让 ={02}。RC[i 一 1], 这 里 *。” 为 在 GF(2 ) 域 上 的 乘法 。 若 i==36, Ni 二 4, 则 i/Ni = 
9, 计 算 RC[9] 为 zsmod(m(Cz)) 一 zsmod(Czs 十 zt 十 zs 十 z 十 1) 一 z4 十 zs 十 z 十 1 所 代表 的 字 
节 {1b}, 即 有 RC[8]={1b)。 


存在 两 个 特殊 情况 : 
(1) 对 于 在 N 整数 倍 处 的 密 钥 ,在 异 或 之 前 还 将 对 这 些 字 进 行 相应 的 变换 ,具体 见 上 
面 的 实现 过 程 。 


(2) 密 钥 长 度 为 256 位 (N 一 8) 时 的 密 钥 扩展 方案 与 密 钥 长 度 分 别 为 128 位 (Nt 一 4) 及 
192 比特 CN 一 6) 时 的 密 钥 扩展 方案 稍 有 不 同 。 当 Ni 二 8 时 ,如 果 i 一 4 是 Ni 的 整数 倍 , 则 
在 进行 异 或 之 前 ,需要 先 对 进行 Subword() 变 换 。 

加 密 原 理 的 伪 C 语言 代码 实现 为 : 


Cipher (byte in[4* Nb], byte out[4* Nb], word w[Nb* (Nr+1)] ) 


{ // in、out 为 明文 分 组 输入 和 密 文 分 组 输出 数组 ,w 为 轮 密 钥 数 组 
byte State[4, Nb]; // 定义 一 个 状态 矩阵 4x Nb 
State = in; // 装 和 人 明文 输入 矩阵 到 状态 矩阵 
RddRoundKey (State, w[0] ) // 明文 信息 和 密 钥 混合 ,使 用 w[0] 开 始 的 Nb 个 密 钥 


for( intr = 1;r<Nr;r++ ) // 实现 1 到 Nr -1 轮 加 密 变换 
{ 
SubBytes (State); 
ShiftRows (State); 
MixColumns (State); 
AddRoundKey (State，w[rx Nb]); // 使 用 从 w[r* Nb] 开 始 的 Nb 个 密 钥 
} 
SubBytes (State); // 从 这 里 开始 最 后 一 轮 加 密 变换 
ShiftRows (State); 
AddRoundKey (State, w[Nr * Nb]); ”// 结束 轮 加 密 变换 ,使 用 w[Nr * Nb] 开 始 的 Nb 个 密 钥 
Out = State; // 将 最 终 的 变化 结果 State 矩阵 , 放 到 密 文 out 矩阵 中 
// 结束 加 密 变 换 ,得 到 密 文 out 矩阵 


334 AES 的 解密 变换 


解密 为 加 密 的 逆 变换 ,其 伪 C 代码 如 下 : 
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InvCipher (byte in[4* Nb], byte out[4* Nb], word w[Nbx* (Nr+1)] ) 


{ // iout 为 密 文 和 明文 分 组 数组 ,w 为 轮 密 钥 数组 

byte State[ 4, Nb]; // 定义 一 个 状态 矩阵 4x Nb 

State = in; // 装 人 密 文 输入 矩阵 到 状态 矩阵 

RddRoundKey (State, w[0] ); // 使 用 w[Nr * Nb] 开 始 的 Nb 个 密 钥 来 解密 Nr 轮 加 密 变换 
InvShiftRows (State); // 实现 ShiftRows 的 道 变换 

InvSubBytes (State); // 实现 SubBytes 的 道 变换 


for( intr=Nr-1;r>0;r--) // 实 现 Nr-1 到 1 轮 的 解密 变换 
{ 
AddRoundKey (State,w[r* Nb]); // 使 用 从 w[r* Nb] 开 始 的 Nb 个 密 钥 
InvMixColumns (State); 
InvShiftRows (State); 
InvSubBytes (State); 
} 


RddRoundKey (State, w[ Nr * Nb]); // 轮 密 钥 混合 变换 得 到 明文 ,使 用 w[0] 开 始 的 Nb 个 密 钥 
Out = State; // 将 最 终 的 变化 结果 State 矩阵 , 放 到 密 文 out 矩阵 中 
} // 结束 加 密 变 换 , 得 到 明文 out 矩阵 


显然 ,解密 变换 为 加 密 变 换 的 逆 变 换 。 加 密 和 解密 密 钥 扩展 方法 一 样 , 相 应 的 逆 变 换 
如 下 。 


1. 逆 字 节 代 换 运算 (InvSubByte()) 


逆 字 节 代 换 运算 InvSubByte() 也 遵循 一 个 代 换 表 如 表 3-7 所 示 , 即 逆 S 盒 代 换 表 。 
表 3-7 AES 的 逆 S 盒 蔡 换 表 - 字 节 xy 的 代替 表 ( 用 十 六 进 制 表示 ) 








0 52 09 6a d5 30 36 a5 38 bf 40 a3 9%e 81 f3 dd? fb 
1 7c &€@3 39 82 9b 2f {ff 87 34 8e 43 44 «4 de  e9 cb 
2 54 7b 94 32 a ¢c2 23 3d ee 4c 95 0b 42 fa ¢3 4e 
3 08 2e al 66 28 d9 24 b2 76 5b az 49 6d 8b dl 25 
4 72 f8 f6 64 86 68 98 16 d4 a4 5c cc 5d 65 b6 92 
5 6c 70 48 50 fd ed bg da 5e 15 46 57 a7 8d 9d 84 
6 90 d8 ab 00 8c bc d3 0a {7 e4 58 05 bg b3 45 06 
¥ d0 ?zc le 8f ca 3f of 02 cl af bd 03 01l 13 8a 6b 
8 3a 91 11 41 4f 67 dc ea 97 f2 cf ce f0 b e 73 
9 96 ac 74 22 e7 ad 35 85 ez ft 37 eg lc 75 df 6e 
a 47 fl a ld 29 ¢c5 89 6f b7 62 0e aa 18 be 1b 
b fc 56 3e 4b ec6 d2 79 20 9a db ec0 fe 78 cd 5a f4 
C lf dd a8 33 88 07 c7 31 bl 12 10 59 27 80 人 5f 
d 60 51 7f a9 19 b5 4a 0d 2d ee5 7a 9f 93 c9 9c ef 
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mm 
忆 
过 
Ee 
Ca 
© 
ps] 
am 

人 
名 

a 
Ee 
$s 
Be 
休 


第 3 章 对 称 密码 体制 58 





这 个 道 S 盒 也 由 有 限 域 GF(2*) 上 的 仿 射 变换 和 乘法 取道 两 步 构成 。GF(2*) 上 的 基本 
运算 见 上 节 。 有 限 域 GF (2 ) 上 的 仿 射 变换 也 对 字 节 进行 操作 , 设 输入 字 节 为 
{5rbsbsb4b3bs010bo) ,经 过 仿 射 变换 后 的 输出 字 节 为 (07 0 65 0 0 bs 51 56), 再 对 输出 字 节 
求 其 在 GF(2* ) 域 上 的 逆 元 素 。 这 里 仿 射 变换 用 矩阵 来 表示 其 表达 式 为 


bo hd RA 1 
0 下 Ee ke 了 
02 下 bY O00 Dd DY | | 
0 下 下 
& 1111000| lllo 
2 a ES WE i 0 2 M2 
vO GL 
路 0 0 6 


2. 逆行 移 位 变换 (InvShiftRows()) 


道行 移 位 变换 InvShiftRows() 是 行 移 位 变换 ShiftRows() 的 逆 变 换 。 若 加 密 时 行 移 位 
变换 中 State 矩阵 的 行 位 移 如 下 : 第 零 行 不 发 生 偏 移 , 第 一 行 循环 左 移 Ci 字 节 ,第 二 行 移 
Cs 字 节 ,第 二 行 移 C; 字 节 ; 则 对 应 逆行 位 移 变换 为 第 零 行 不 发 生 偏 移 , 第 一 行 循 环 左 移 
六 一 Ci 字 节 ,第 二 行 移 N, 一 Cs 字 节 ,第 二 行 移 N, 一 Cs 字 节 。 


3. 逆 列 混合 变换 (InvMixColumns()) 


逆 列 混合 变换 InvMixColumns() 是 列 混合 变换 MixColumns() 的 道 变换 。 变 换 为 ; 
sz) 一 ar1Cz)COs(z), 这 里 a-1Cz) 一 {00)z3 十 {0d)z2 十 {09}z 十 {0e) ,的 运算 方法 见 上 节 ， 
这 个 表达 式 用 矩阵 可 表示 为 


Sor 0e 0b 0d 091|so: 
, 
Si 09 0e 0b 0d js 
,|= 
S25 Od 09 Oe 00|| sz 
5 0b 0d 09 Oe s; 
当 N, 二 4 时 ,有 
, /7 1/ 于 
S00 Sol So2 $03 S00 Sol So2 $03 
1/ /7 1 , 
S10 SI S12 $513 | InvMixColumns() | S10 Su 3S12 $13 
ie 
1 1 1/ 1 
S20 S21 S22 S23 S20 S21 S22 S523 
, 1 1 1 
S30 3S31 532 533 3S30 3S31 332 $33 


335 AES 加 密 算法 性 能 分 析 


AES 加 密 算法 和 DES 加 密 算 法 有 很 多 的 共同 点 ,都 要 经 过 一 个 S 盒 . 替换 和 移 位 等 操 
作 , 但 是 ,AES 加 密 算法 最 终 取代 DES, 主 要 有 以 下 几 点 原因 。 
(1) 在 DES 中 , 密 钥 长 度 为 64 位 ,有 效 密 钥 空间 仅 为 2”, 这 样 小 的 密 钥 空 间 对 像 穷 举 
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密 钥 这 样 的 攻击 来 说 显得 太 小 了 。 相 比 之 下 AES 有 更 长 的 密 钥 , 密 钥 长 度 有 128 位 、 
192 位 和 256 位 三 种 情况 ,明显 提高 了 加 密 的 安全 性 ,同时 ,对 不 同 机 密级 别 的 信息 ,可 采用 
不 同 长 度 的 密 钥 ,执行 灵活 性 较 高 。 

(2) 在 DES 中 ,还 存在 一 些 弱 密 钥 和 半 弱 密 钥 。DES 的 16 次 加 密 迭 代 中 使 用 不 同 的 
子 密 钥 是 确保 DES 强度 的 一 种 重要 措施 ,但 实际 上 存在 一 些 密 钥 , 由 它 产生 的 16 个 子 密 钥 
会 部 分 地 重合 甚至 完全 一 致 。 这 样 的 密 钥 为 弱 密 钥 或 半 弱 密 钥 , 它 们 的 存在 无 疑 会 降低 
DES 的 强度 。 所 以 ,在 DES 中 ,对 初始 密 钥 的 选取 存在 一 定 的 限制 。 在 AES 中 ,由 于 密 钥 
扩展 函数 的 特点 ,所 产生 的 轮 密 钥 随机 性 很 强 , 对 初始 密 钥 的 选取 也 没有 特别 的 限制 。 

(3) DES 加 密 算 法 存在 互补 对 称 性 。 若 C= 一 DES(M,K), 则 有 C==DES(M,K), 其 中 
C、 MK 表示 C .MK 的 非 。 互 补 对 称 性 会 使 DES 在 选择 明文 攻击 下 所 需 的 工作 量 减 半 。 
产生 互补 对 称 性 的 原因 在 于 DES 中 两 次 巾 运算。 而 AES 的 均衡 对 称 结构 既 可 以 提高 执行 
的 灵活 度 , 又 可 防止 差分 分 析 方法 的 攻击 。 

(4) AES 算法 的 实现 更 简单 。AES 算法 的 迭代 次 数 最 多 为 14 次 ,S 盒 只 有 一 个 , 较 之 
DES 的 16 次 迭代 和 8 个 S 盒 要 简单 得 多 。 此 外 ,AES 算法 有 很 强 的 扩散 性 能 ,能 把 非 线性 
部 件 产生 的 非 线性 很 快 地 扩散 开 ,形成 的 密码 有 很 高 的 随机 性 。 可 有 效 地 防止 差分 分 析 和 
线性 分 析 的 攻击 。 

(5) AES 算法 在 所 有 的 平台 上 都 表现 良好 ,其 操作 比较 容易 抵御 对 物理 层 实现 的 某 些 
攻击 ,能 很 好 地 适应 现代 及 将 来 处 理 器 的 发 展 ,有 支持 并 行 处 理 的 能 力 。 因 此 ,无 论 是 从 安 
全 还 是 实现 的 难 易 度 上 考虑 ,AES 采用 Rijndael 作为 其 加 密 算法 应 该 是 明智 的 选择 。 


34 序列 密码 
序列 密码 也 称 为 流 密码 ,采用 对 称 密码 体制 , 它 是 密码 学 的 一 个 重要 组 成 部 分 。 
341 序列 密码 的 原理 


“一 次 一 密 "密码 在 理论 上 是 不 可 攻破 的 。 序 列 密码 则 由 “一 次 一 密 ” 密 码 启发 而 来 。 

“一 次 一 密 "密码 使 用 的 密 钥 是 和 明文 一 样 长 的 随机 序列 , 密 钥 越 长 越 安全 ,但 长 密 钥 的 
存储 、 分 配 都 很 困难 。 序 列 密码 采用 密 钥 生成 器 ,从 原始 密 钥 生 成 一 系列 密 钥 流 用 来 加 密 信 
息 ,每 个 明文 可 以 选用 不 同 的 密 钥 加 密 。 如 果 序 列 密码 所 使 用 的 是 真正 随机 产生 的 .与 消息 
流 长 度 相同 的 二 进 制 序列 ,此 时 的 序列 密码 就 是 “一 次 一 密 ” 的 密码 体制 ,这 种 密码 的 破解 难 
度 很 大 。 

序列 密码 的 关键 就 是 产生 密 钥 流 的 算法 ,该 算法 必须 能 够 产生 可 变 长 的 .随机 的 、 不 可 
预测 的 密 钥 流 。 另 外 ,保持 通信 双方 的 精确 同步 是 序列 密码 实际 应 用 中 的 关键 技术 。 由 于 
通信 双方 必须 能 够 产生 相同 的 密 钥 流 , 所 以 这 种 密 钥 流 不 可 能 是 真 随机 序列 ,只 能 是 伪 随 
机 流 。 

序列 密码 的 设计 核心 在 于 密 钥 发 生 器 的 设计 ,序列 密码 的 安全 强度 取决 于 密 钥 发 生 器 
产生 的 密 钥 流 的 周期 、 复 杂 度 、 随 机 ( 伪 随 机 ) 特 性 等 ,安全 的 密 钥 流 生成 器 必然 会 使 用 非 线 
性 变换 ,本 节 介 绍 的 例子 使 用 的 是 线性 变换 。 二 进 制 序列 密码 体制 的 诱 人 之 处 在 于 它 可 以 
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用 硬件 实现 ,线性 变换 一 般 采 用 线性 反馈 移 位 寄存 器 (LFSR) 实 现 ,而 非 线 性 变换 目的 是 增 
强 密 钥 的 复杂 度 和 随机 特性 ,这 些 变换 一 般 以 线性 移 位 寄存 器 序列 为 基 序列 ,经 过 不 规则 采 
样 、 函 数 变换 等 ,得 到 实用 安全 的 密 钥 流 。 

一 个 典型 的 序列 密码 每 次 加 密 一 个 字 节 的 明文 。 当 然 ,序列 密码 也 可 以 被 设计 为 每 次 
操作 一 位 或 一 个 字 节 的 单元 。 典 型 的 序列 密码 的 结构 如 图 3-18 所 示 。 






































密 钥 k 密 钥 k 
| 
1 L 
伪 随机 字 节 伪 随 机 字 节 
发 生 器 发 生 器 
( 密 钥 流 发 生 器 ) ( 密 钥 流 发 生 器 ) 
明文 帮 密 文 1 明文 
字 节 流 一 字 节 流 -4 一 字 节 流 
M 异 或 加 密 C 异 或 解密 M 




















3-18 流 密码 的 结构 


在 该 结构 中 , 密 钥 输入 到 一 个 伪 随 机 数 发 生 器 ,该 伪 随 机 数 发 生 器 产生 一 串 随机 的 8 比 
特 数 。 这 些 按 先后 次 序 产生 的 随机 数 排 成 序列 , 即 为 一 个 伪 随 机 流 ( 在 不 知道 输入 密 钥 的 情 
况 下 不 可 预知 的 流 ) ,也 就 是 用 于 对 每 个 明文 字 节 进行 加 密 的 密 钥 流 。 用 于 产生 密 钥 流 的 初 
始 密 钥 也 称 为 “种 子 ”。 

每 产生 一 个 字 节 的 密 钥 ,这 个 密 钥 就 与 同一 时 刻 的 当前 明文 字 节 进行 异 或 运算 产生 密 
文字 节 , 并 依 此 类 推 产生 密 文 流 。 

例如 ,如 果 发 生 器 产生 的 密 钥 为 01101100, 而 当前 的 明文 字 节 为 11001100, 则 得 出 的 密 
文字 节 为 


11001100 明文 
@ 01101100 密 钥 流 
10100000 密 文 
解密 时 则 需要 使 用 相同 的 伪 随机 序列 
10100000 密 文 
由 01101100 密 钥 流 
11001100 明文 


可 以 看 出 ,序列 密码 与 一 次 一 密 ” 的 区 别 就 在 于 ,“ 一 次 一 密 ” 使 用 的 密 钥 是 真正 的 随机 
数 流 , 而 序列 密码 使 用 的 密 钥 是 伪 随 机 数 流 。 

设计 序列 密码 需要 考虑 以 下 几 个 主要 因素 : 

(1) 密 钥 流 的 周期 要 长 。 伪 随机 数 发 生 器 产生 的 并 非 完全 随机 的 序列 , 它 是 一 个 产生 
确定 的 比特 流 的 函数 ,该 比特 流 最 终 将 产生 重复 。 重 复 的 周期 越 长 ,相当 于 密 钥 越 长 ,密码 
分 析 也 就 越 困 难 。 

(2) 密 钥 流 应 尽 可 能 地 接近 于 一 个 真正 的 随机 数 流 的 特征 。 例 如 ,1 和 0 的 个 数 应 大 致 
相同 。 密 钥 流 越 随 机 ,加 密 所 得 的 密 文 也 越 随机 ,分 析 就 越 困 难 。 

(3) 伪 随 机 数 发 生 器 的 输出 取决 于 输入 的 密 钥 的 值 。 
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通过 设计 合适 的 伪 随 机 发 生 器 ,序列 密码 可 以 提供 和 相应 密 钥 长 度 分 组 密码 相当 的 安 
全 性 。 而 且 相 对 于 分 组 密码 来 说 ,往往 速度 更 快 且 需 要 编写 的 代码 更 少 。 序 列 密码 目前 的 
理论 已 经 比较 成 熟 ,工程 实现 也 比较 容易 ,加 密 效 率 高 ,在 许多 重要 领域 得 到 应 用 。 


342 PROG4 


RC4 是 RSA 三 人 组 中 的 Ron Rivest 为 RSA 公司 在 1987 年 设计 的 一 种 序列 密码 。 它 
是 一 种 可 变 密 钥 长 度 、 面 向 字 节 操作 的 序列 密码 。 该 算法 以 随机 置换 为 基础 。 对 该 算法 的 
分 析 显 示 ,该 密码 的 周期 大 于 10'”。 每 输出 一 字 节 的 结果 仅 需 要 8 一 16 条 机 器 操作 指令 。 
RC4 可 能 是 应 用 最 广泛 的 序列 密码 。 它 被 用 于 SSLVTLS( 安 全 套 接 字 / 传 输 层 安全 协议 ) 标 
准 , 该 标准 是 为 网 络 浏览 器 和 服务 器 间 通 信 而 制定 的 。 它 也 用 于 IEEE802. 1 无 线 局 域 网 中 
的 WEP 协议 。RC4 起 初 是 用 于 保护 商业 机 密 的 。 但 是 在 1994 年 9 月 , 它 的 算法 被 发 布 在 
互联 网 上 ,也 就 不 再 有 什么 商业 机 密 了 。 


1. RC4 算法 实现 


RC4 算法 非常 简单 : 用 从 1 一 256 个 字 节 的 可 变 长 度 密 钥 初始 化 一 个 256 字 节 的 状态 
矢量 S,S 的 元 素 记 为 SL0],SL1],…',SL255], 从 始 至 终 置换 后 的 $S 包含 从 0 一 255 的 所 
有 8 比特 数 。 对 于 加 密 和 解密 中 应 用 的 密 钥 流 的 产生 , 密 钥 流 中 的 每 个 密 钥 是 由 S 中 
255 个 元 素 按 一 定 的 方式 选 出 一 个 元 素 而 生成 。 每 生成 一 个 密 钥 &,S 中 的 元 素 就 被 重新 置 
换 一 次 。 

1) 初始 化 

开始 时 ,S 中 元 素 的 值 被 置 为 按 升 序 从 0 一 255, 即 S[0] 一 0,S[1] 王 1,…,S[255] 一 255， 
同时 建立 一 个 临时 矢量 T。 如 果 种 子 密 钥 K 的 长 度 为 256 字 节 , 则 将 KK 赋 给 T。 否 则 ,车 
KK 的 长 度 为 keylen 字 节 , 则 将 K 的 值 赋 给 T 的 前 keylen 个 元 素 , 并 循环 重复 用 kK 的 值 赋 
给 T 剩 下 的 元 素 , 直 到 了 的 所 有 元 素 都 被 赋值 。 其 过 程 如 下 : 

/x* 初始 化 */ 

For i=0 to 255 do 

S[i]=i; 
T[i] = K[i mod keylen]; // 临 时 矢量 T(256 字 节 ) 

然后 用 T 产 生 的 S$ 的 初始 置换 。 从 SL0] 到 S[255], 对 每 个 S[i ,根据 T[ 门 确定 的 方 
案 , 将 S[ 门 置换 为 $ 中 的 另 一 字 节 : 

/x 置换 */ 

j=0; 

For i=0 to 255 do 

j= (j+S[i]+T[i]) mod 256; 

Swap(S[i], s[j]); //s 仍然 包含 所 有 值 为 0 一 255 的 元 素 

2) 密 钥 流 的 生成 

矢量 $ 一 旦 完成 初始 化 ,种 子 密 钥 就 不 再 被 使 用 。 密 钥 流 的 生成 是 从 SL0] 一 SL255]， 
对 每 个 S[ 详 ,根据 当前 $S 的 值 , 将 S[ 疏 与 $ 中 的 另 一 个 字 节 置换 。 当 S[L255] 完 成 置换 后 , 操 
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作 继 续 重复 ,从 SL0] 开 始 : 

/* 密 钥 流 的 生成 * / 

i=0,j=0; 

While(true) 
i= (i+1) mod 256; 
j=(j + S[i]) mod 256; 
swap(S[i],S[j]); 
t= (S[i] +S[j]) mod 256; 
k=S[t]; 


加 密 中 ,将 的 值 与 下 一 明文 字 节 异 或 ; 解密 中 ,将 的 值 与 下 一 密 文字 节 异 或 。 
2. RC4 的 安全 性 


RC4 算法 的 优点 是 简单 高 效 , 特 别 适合 软件 实现 。 

其 安全 性 当然 也 是 随 着 密 钥 长 度 的 增加 而 增强 。 美 国政 府 对 RC4 算法 软件 的 出 口 做 
出 了 明确 限制 ,其 密 钥 长 度 不 能 超过 40 位 。1995 年 有 人 在 Internet 网 上 公布 了 一 条 用 40 
位 密 钥 的 RC4 加 密 的 密 文 ,并 提出 了 破译 挑战 。 法 国 的 一 个 研究 小 组 通过 Internet 网 ,用 
了 120 台 计 算 机 和 工作 站 ,结果 只 用 了 8 天 时 间 便 求 出 了 密 钥 。 在 此 之 后 的 第 二 次 破译 挑 
战 中 只 用 了 31. 8 小 时 便 破 译 成 功 。 

当然 ,对 于 密 钥 足够 长 (如 128 位 ) 的 RC4, 则 安全 性 就 非常 高 了 。 关 于 分 析 RC4 的 攻 
击 方法 有 许多 公开 发 表 的 文献 ,但 没有 哪 种 方法 对 密 钥 足够 长 的 RC4 有 效 。 


35 其 他 对 称 加 密 算法 


在 不 同 的 安全 系统 中 ,还 存在 着 其 他 对 称 加 密 算法 .其 中 包括 : 

(1) IDEA。 国 际 数据 加 密 算法 (Cinternational data encryption algorithm,IDEA) 是 在 由 
旅居 瑞士 的 华人 来 学 嘉和 他 的 导师 J.L. Massey 共同 开发 的 。IDEA 使 用 128 位 密 钥 ,明文 
和 密 文 分 组 长 度 为 64 位 。 已 被 用 在 多 种 商业 产品 中 。 

(2) CLIPPER 密码 。 采 用 SKIPJACK 算法 ,明文 和 密 文 分 组 长 度 为 64 位 , 密 钥 长 度 
为 80 位 。 

(3) Blowfish。Blowfish 允许 使 用 最 长 为 448 位 的 不 同 长 度 的 密 钥 ,并 针对 在 32 位 处 
理 器 上 的 执行 进行 了 优化 。 

(4) Twofish。Twofish 使 用 128 位 分 组 ,可 以 使 用 128、192 或 256 位 密 钥 。 

(5) CAST-128。CAST-128 使 用 128 位 密 钥 。 它 在 更 新 版 本 的 PGP 中 使 用 。 

(6) GOST。GOST 是 为 了 回应 DES 而 开发 的 俄罗斯 标准 , 它 使 用 256 位 密 钥 。 

所 有 这 些 算法 都 可 能 出 现在 安全 性 产品 中 ,对 于 一 般 性 的 应 用 ,所 有 这 些 算法 都 将 是 足 
够 复杂 的 。 
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36 对 称 密码 的 工作 模式 


加 密 算法 是 一 种 确定 性 函数 , 即 在 使 用 特定 的 输入 值 调用 确定 性 函数 的 任何 时 候 , 它 们 
总 是 返回 相同 的 结果 。 

也 就 是 说 , 当 调 用 加 密 算法 E 对 两 个 明文 P, 和 P: 进行 加 密 时 ,如 果 Pi 二 P, 且 六 一 
ks ,那么 加 密 后 得 到 的 密 文 也 相等 , 即 

E(kisPi) =G = CG: = E(kisP,) 

因此 , 当 用 同一 密 钥 来 加 密 多 个 消息 时 ,如 果 加 密 后 有 两 个 密 文 完 全 相同 , 则 可 以 推 
断 出 它们 所 对 应 的 明文 也 完全 相同 。 即 使 密 钥 & 只 使 用 一 次 , 即 只 加 密 一 个 消息 ,任意 两 个 
相同 的 密 文 分 组 ,都 意味 着 它们 所 对 应 的 明文 分 组 也 相同 。 

然而 ,根据 香农 对 安全 加 密 的 定义 ,必须 保证 攻击 者 不 能 根据 密 文 推断 出 关于 明文 的 任 
何 信息 。 因 此 ,确定 性 的 加 密 算法 并 不 能 直接 用 于 加 密 信息 ,必须 在 加 密 算法 的 基础 上 设计 
具有 随机 性 的 工作 模式 ,才能 满足 对 信息 加 密 的 现实 要 求 。 

本 节 介 绍 两 种 最 常用 的 对 称 密码 工作 模式 。 


361 密 文 分 组 链接 模式 
密 文 分 组 链接 模式 (Cipher Block Chaining Mode) 简 称 为 CBC 模式 。 在 该 模式 下 , 当 


前 的 明文 分 组 在 被 代入 加 密 算法 之 前 , 先 要 和 上 一 分 组 的 密 文 进行 异 或 运算 ,如 图 3-19 
所 示 。 















































































































































IV m[0] ml1] m[2] m[3] 
1 1 | 1 
~ -© 一 四 -© 
1 1 | 1 
E(k.) E(k.:) E(k.) E(k.) 
昌 | 1 
IV c[0] c[1] c[2] c[3] 
a 
密 文 


3-19 ” 密 文 分 组 链接 模式 的 加 密 过 程 


每 加 密 一 个 明文 消息 M, 首 先 随机 生成 一 个 初始 向 量 IV。 第 一 个 明文 分 组 mL0j 与 IV 
异 或 后 再 代入 加 密 算 法 ,之 后 的 每 个 明文 分 组 都 要 先 和 前 一 个 分 组 的 密 文 进行 异 或 ,然后 再 
进行 加 密 , 即 
cL0] = E(k, mL0] ® IV), ci] = E(k, m[i] ® cLi—1)) 
需要 注意 的 是 ,IV 和 所 有 密 文 分 组 一 起 构成 最 后 的 密 文 段 ,发 送 到 接收 端 。 接 收 端 在 
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没有 IV 的 情况 下 将 无 法 对 密 文 进行 解密 。 密 文 分 组 链接 模式 的 解密 过 程 如 图 3-20 所 示 。 











































































































IV c[0] c[1] <D] cD] 
1 1 1 1 
D(k,) | D(k.:) D(k.:) D(k.) 
轩 人 1 | 
-0 -© ~ -© 
了 了 1 | 
m[0] m[1] m[2] m[3] 


图 3-20” 密 文 分 组 链接 模式 的 解密 过 程 


在 解密 时 ,首先 从 密 文 段 中 提取 出 IV ,第 一 个 密 文 分 组 在 解密 后 与 IV 异 或 ,得 到 第 一 
个 明文 分 组 ; 其 他 密 文 分 组 则 在 解密 后 与 前 一 个 分 组 的 解密 输出 进行 异 或 ,得 到 相应 的 明 
文 分 组 , 即 : 

m[0] = D(k, c[0]) IV, m[i] = D(k, cLi]) 四 DC cLi—1]) 

可 以 看 出 , 密 文 分 组 链接 模式 可 以 实现 以 下 两 个 随机 性 : 

(1) 由 于 每 次 加 密 一 个 消息 时 所 用 的 IV 在 很 高 的 概率 上 不 同 , 因 此 用 同一 密 钥 加 密 两 
个 相同 的 消息 ,产生 的 密 文 不 同 。 

(2) 由 于 每 个 密 文 分 组 在 输入 到 加 密 算法 之 前 要 与 前 一 个 分 组 的 密 文 进行 异 或 ,因此 
两 个 相同 的 明文 分 组 所 产生 的 密 文 分 组 不 同 。 


362 随机 计数 器 模式 


随机 计数 器 模式 (Randomize Counter Mode) 简 称 为 随机 CTR 模式 。 该 模式 采用 了 流 
密码 的 设计 思想 ,利用 伪 随 机 函数 下 来 产生 伪 随 机 密 钥 流 ,并 与 明文 进行 异 或 计算 来 生成 
密 文 。 

随机 计数 器 模式 的 加 密 过 程 如 图 3-21 所 示 。 
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密 广 
3-21 ”随机 计数 器 模式 的 加 密 过 程 
在 随机 计数 器 模式 中 ,每 加 密 一 个 明文 消息 M, 首 先 随机 生成 一 个 初始 向 量 IV。 作 为 


一 个 计数 器 ,每 加 密 一 个 分 组 ,IV 都 要 加 1。 每 个 明文 分 组 与 下 函数 的 相应 输出 进行 异 或 ， 
从 而 得 到 相应 的 密 文 分 组 。 计数 器 可 以 使 得 每 个 明文 分 组 所 异 或 的 对 象 在 很 高 的 概率 上 都 
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不 同 。 这 样 ,即使 两 个 明文 分 组 完全 相同 ,所 得 到 的 密 文 分 组 也 不 相同 。 

显然 ,与 CBC 模式 一 样 ,IV 也 必须 和 所 有 密 文 分 组 一 起 发 送 到 接收 端 。 接 收 端 在 没有 
IV 的 情况 下 将 无 法 对 密 文 进行 解密 。 

伪 随 机 函数 下 是 一 个 重要 的 构成 部 分 。 它 可 以 是 一 个 加 密 函 数 ,但 并 不 要 求 可 道 , 因 
为 在 解密 时 只 需 重新 计算 下 函数 ,而 不 需要 用 到 其 逆 函 数 。 随 机 计数 器 模式 的 解密 过 程 如 
图 3-22 所 示 。 
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3-22 ”随机 计数 器 模式 的 解密 过 程 


在 解密 时 ,首先 从 密 文 段 中 提取 出 IV, 然 后 作为 计数 器 ,代入 伪 随 机 函数 ,输出 密 钥 流 
并 与 相应 的 密 文 分 组 异 或 ,从 而 得 到 所 有 明文 分 组 。 

显然 ,随机 计数 器 模式 也 可 以 实现 前 文 描述 的 两 个 随机 性 。 

相对 于 CBC 模式 ,随机 CTR 模式 具有 一 个 明显 的 优点 。CBC 模式 只 能 进行 串 行 计 
算 , 即 必须 在 处 理 完 当 前 分 组 后 才能 处 理 后 续 分 组 。 而 随机 CTR 模式 则 可 以 并 行 计 算 , 多 
个 分 组 的 加 密 或 解密 可 以 同时 进行 , 当 采 用 双核 或 多 核 计算 机 时 ,加 解密 速度 可 成 售 提高 。 
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41 公 钼 密码 体制 的 产生 


根据 加 密 密 钥 能 否 公 开 , 人 们 将 密码 体制 划分 为 两 大 类 ,一 类 叫 传统 密码 体制 , 另 一 类 
叫 公 钥 密码 体制 。 所 谓 传统 密码 体制 , 指 的 是 几 千 年 来 密码 通信 一 直 沿 用 的 一 类 密码 体制 ， 
这 类 密码 体制 在 加 密 和 解密 时 ,使 用 的 是 同一 个 密 钥 ,或 虽然 使 用 不 同 的 密 钥 ,但 是 能 通过 
加 密 密 角 方 便 地 导出 解密 密 钥 ,这 类 密码 体制 也 叫 作 对 称 密码 体制 或 单 密 钥 密码 体制 ,这 在 
上 一 章 已 经 阐述 。 显 然 ,加密 密 钥 是 整个 密码 通信 系统 的 核心 机 密 , 一 旦 加 密 密 钥 被 暴露 ， 
整个 密码 体制 也 就 失去 了 保密 作用 。 

随 着 信息 加 密 技 术 应 用 领域 的 扩大 ,尤其 是 从 单纯 的 军事 外交、 情报 领域 的 使 用 ,扩大 
到 民用 领域 ,如 商业 金融. 计算 机 通信 网 络 中 的 信息 保密 等 ,传统 密码 体制 在 应 用 中 暴露 出 
越 来 越 多 的 缺陷 。 


1. 密 钥 管理 的 麻烦 


密 钥 管理 包括 密 钥 保存 和 分 配 。 密 钥 分 配 是 传统 密码 体制 遇 到 的 最 大 困难 之 一 。 因 为 
在 以 传统 密码 体制 为 基础 的 保密 通信 中 ,通信 双方 所 使 用 的 都 是 同一 个 密 钥 ,而 密 钥 又 是 传 
统 密码 体制 的 核心 , 它 是 绝对 不 能 透露 给 第 三 者 的 。 于 是 ,在 一 次 密码 通信 开始 之 前 ,信息 
的 发 送 方 必须 提前 把 所 用 的 保密 密 钥 经 过 特殊 的 秘密 渠道 ,如 信使 .挂号 信 等 ,或 者 经 一 条 
特殊 的 保密 通信 线路 , 即 密 钥 信道 , 送 到 信息 的 接收 方 。 在 计算 机 通信 和 网 中 , 则 要 由 主机 把 
该 次 所 用 的 密 钥 发 送 给 交换 信息 的 两 个 用 户 。 

经 特殊 的 密 钥 信道 分 配 保密 密 钥 是 相当 困难 的 , 随 着 系统 用 户 的 增加 ,这 种 困难 程度 变 
得 越 来 越 严重 。 而 近代 商用 和 民用 密码 通信 的 特征 之 一 就 是 用 户 很 多 ,如 在 一 个 民用 密码 
通信 网 中 ,用 户 数 为 n 则 每 个 用 户 都 要 保存 个 密 钥 。 包 括 他 自己 的 密 钥 。 系 统 可 能 的 用 
户 对 数 , 亦 即 系统 拥有 的 密 钥 总 数 将 增加 到 n(n 一 1)/2 个 。 一 个 拥有 10 万 用 户 的 民用 密码 
通信 网 就 要 拥有 近 50 亿 个 密 钥 。 显 然 ,要 十 分 妥善 地 保存 这 些 密 钥 ,本 身 就 是 一 个 难题 。 
而 要 经 特殊 的 保密 信道 分 配 这 么 多 密 钥 ,更 是 难以 想象 。 

试想 要 做 到 真正 保密 ,那么 每 两 个 用 户 之 间 都 需要 一 条 秘密 信道 ,这 在 经 济 上 也 是 绝对 
不 允许 的 。 不 仅 如 此 , 按 传统 方法 分 配 密 钥 ,必然 带 来 实际 通信 时 间 的 推迟 ,然而 在 商业 上 ， 
时 间 的 贻误 往往 意味 着 经 济 的 损失 ,这 是 任何 一 个 商业 用 户 所 不 希望 的 。 
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2. 密 钥 难 以 传输 


对 称 密码 体制 的 解密 密 钥 和 加 密 密 钥 相 同 或 容易 从 加 密 密 钥 导出 ,因而 加 密 密 钥 的 暴 
露 会 使 系统 变 得 不 安全 。 对 称 密码 体制 的 一 个 严重 缺陷 是 在 任何 密 文 传输 之 前 ,发 送 者 和 
接收 者 必须 使 用 一 个 安全 信道 预先 传送 密 钥 ,在 实际 应 用 中 这 一 点 是 很 难 做 到 的 。 例 如 , 假 
定 发 送 者 和 接收 者 之 间 的 距离 很 远 , 他 们 要 使 用 电子 邮件 通信 ,在 这 种 情况 下 ,通信 双方 可 
能 没有 合理 的 安全 信道 。 


3. 不 能 提供 法 律 证 据 


在 现今 国际 和 国内 的 商业 往来 中 ,合同 和 协议 的 真实 性 是 由 书面 签字 来 保证 的 ,一 张 签 
字 的 合同 可 以 作为 法 律 上 的 证 据 。 

但 是 现代 电子 通信 和 最 易于 剪接 、 算 改 和 伪造 。 要 用 电子 信件 代替 书面 信件 ,不仅 要 解决 
保密 问题 ,而 且 要 解决 证 实 问题 。 

信息 的 证 实 是 指 两 个 方面 : 一 方面 指 对 发 送 方 的 证 实 ; 另 一 方面 指 对 接收 方 的 证 实 ， 
也 就 是 能 够 确认 接收 方 所 收 到 和 保存 的 信息 确实 是 由 发 送 方 发 出 的 , 既 不 是 伪造 的 ,也 没有 
经 过 包括 接收 方 在 内 的 其 他 人 所 复 改 。 

在 传统 密码 体制 中 ,接收 方 利用 保密 密 钥 ,对 密 文 信息 进行 解密 变换 ,能 成 功 地 解决 信 
息 的 保密 问题 。 因 为 只 有 掌握 解密 密 钥 的 合法 接收 者 ,才能 从 密 文 恢复 出 明文 ,这 能 够 解决 
接收 方 对 发 送 方 的 证 实 问题 ,使 接收 方 能 够 确认 该 信息 确实 是 由 发 送 方 送 出 的 。 但 是 却 无 
法 解决 对 接收 方 的 证 实 问题 ,因为 接收 方 所 掌握 的 解密 密 钥 和 发 送 方 的 加 密 密 钥 相同 ,完全 
有 能 力 算 改 他 接收 到 的 文件 或 伪造 文件 。 

基于 同样 的 理由 发 送 方 完全 有 借口 抵赖 他 曾 发 出 的 文件 ,例如 ,用 户 甲 利 用 商用 密码 通 
信 向 用 户 乙 订购 了 一 批 货物 ,用 户 乙 如 数 寄 出 。 后 来 由 于 该 商品 价格 猛 跌 , 用 户 甲 拒绝 付 
款 , 这 样 甲乙 双方 就 发 生 争 端 ,由 于 上 述 原因 ,用 户 乙 不 能 提供 有 说 服 力 的 法 律 证 据 , 此 案 则 
法 院 无 法 受理 。 

基于 这 种 原因 ,传统 密码 体制 难以 在 商业 上 获得 更 广泛 的 应 用 。 


4. 缺乏 自动 检测 密 钥 泄密 的 能 力 


由 于 传统 密码 体制 在 分 配 密 钥 上 的 实际 困难 ,因此 通信 和 密 钥 一 旦 指定 ,总 要 使 用 一 定时 
间 ,难以 随时 更 换 , 更 难 一 次 一 换 。 所 以 ,窃听 者 一 旦 破译 出 通信 密 钥 , 则 在 该 密 铀 有 效 使 用 
期 内 就 能 顺利 地 破译 出 该 密 钥 加 密 的 所 有 信息 。 而 合法 的 密码 通信 双方 却 无 法 察觉 ,显然 
这 将 会 使 通信 双方 蒙受 巨大 的 损失 。 

为 了 对 付 密 钥 失 窃 所 带 来 的 损失 和 危害 ,最 好 采用 一 次 一 密 的 密码 体制 , 即 每 次 通信 都 
采用 不 同 的 密 钥 , 这 要 求 密 钥 的 分 配 迅速 ,保密 和 经 济 。 而 传统 密码 体制 是 做 不 到 这 一 点 
的 。 为 此 ,人 们 希望 能 设计 出 一 种 新 的 密码 ,从 根本 上 克服 传统 密码 在 密 钥 管理 上 的 困难 ， 
而 且 容 易 实现 数字 签名 ,从 而 适合 计算 机 网 络 环境 的 各 种 应 用 。 

1976 年 由 当时 在 美国 斯 坦 福 大 学 的 迪 菲 (Diffie) 和 赫 尔 曼 (Hellman) 发 表 了 《New 
Direction in Cryptography) 一 文 ,第 一 次 提出 了 公 钥 密码 体制 的 概念 ,从 此 开创 了 密码 学 的 
新 时 代 。 
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公 角 密码 体制 的 思想 不 同 于 传统 的 对 称 密码 体制 。 它 要 求 密 钥 成 对 出 现 , 一 个 为 加 密 
密 钥 (KK。) , 另 一 个 为 解密 密 钥 (Ku) , 且 不 可 能 从 其 中 一 个 推导 出 另 一 个 。 加 密 密 钥 可 以 发 
布 出 去 作为 公共 密 钥 ,而 解密 密 钥 秘密 保存 。 用 公共 密 钥 加 密 的 信息 只 能 用 专用 密 钥 解密 ， 
反之 亦 然 。 

由 于 公 钥 算法 不 需要 联机 密 钥 服务 器 , 密 钥 分 配 协议 简单 ,所 以 极 大 简化 了 密 钥 管 理 。 
除 加 密 功 能 外 , 公 钥 系统 还 可 以 提供 数字 签名 。 

自 1976 年 以 来 ,已 经 提出 了 多 种 公 钥 密码 算法 ,其 安全 基础 是 基于 一 些 数 学 问题 ,专家 
们 认为 这 些 问题 在 短期 内 不 可 能 得 到 解决 ,因为 一 些 问题 (如 因子 分 解 问题 ) 至 今 已 有 数 千 
年 的 历史 。 


42 数论 基础 


数论 中 的 许多 概念 在 设计 公 钥 密码 算法 时 是 必 不 可 少 的 。 掌 握 这 些 基础 知识 对 于 理解 
公 钥 密码 体制 的 原理 和 应 用 十 分 重要 。 


421 基本 概念 


1. 整除 


定理 : 设 整数 a 和 46, 如 果 存 在 整数 ,使 b= 二 ak, 则 说 5 能 被 a 整除 , 记 做 : al5。 例 如 : 
15 能 被 3 整除 : 3115,60 能 被 一 15 整除 : 一 15160。 

整除 有 两 个 性 质 : 

(1) 对 所 有 整数 天 0,al0、ala 成 立 ; 

(2) 对 任意 整数 0,114 成 立 。 


2. 素数 


定义 : 如 果 整 数 p(p 二 1) 只 能 被 1 或 者 它 本 身 整 除 ,而 不 能 被 其 他 整数 整除 , 则 其 为 素 
数 , 否 则 为 合 数 。 

例如 ,2,3,5,7,11,13,17 等 都 是 素数 。 

素数 的 数量 是 很 多 的 ,其 数量 满足 素数 定理 : 设 x(z) 是 小 于 工 的 素数 的 个 数 , 则 

fr(z) 之 xX/lIn(z), 且 当 xz 一 品 时 ,x(z)/(lnzx) 一 1 
也 就 是 说 ,小 于 z 的 素数 的 个 数 大 约 有 ln(z) 个 。 
在 各 种 应 用 中 ,我 们 通常 需要 大 的 素数 ,如 100 位 的 素数 ,其 个 数 大 约 有 : 
x(10'%)—x(10”) 23.9X10” 个 

素数 是 构成 整数 的 因子 ,每 一 个 整数 都 是 由 一 个 或 几 个 素数 的 不 同 次 寡 相 乘 得 来 的 。 
例如 ,91 二 7X13,11011 二 7X11* X13,3600 二 2:X3?X5:。 也 就 是 说 ,任何 一 个 整数 ,都 可 
以 分 解 为 素数 的 乘积 。 


3. 最 大 公约 数 
定义 : a 和 2 的 最 大 公约 数 是 能 够 同时 整除 a 和 4 的 最 大 正 整 数 , 记 为 gcd(a,6)。 
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例如 ,4 是 16 和 20 的 最 大 公约 数 , 即 4 一 gcd(16,20) 。 

如 果 gcd(a,5) 二 1, 则 说 a 和 wb 是 互 素 的 。 注 意 ,a 和 2 是 互 素 的 ,并 不 一 定 a 或 5 是 素 
数 。 例 如 ,gcd(14,15)=1, 即 14 和 15 互 素 ,但 它们 都 不 是 素数 。 

定理 : 设 a 和 2 是 两 个 整数 (至 少 一 个 非 0) ,d= 二 gcd(a,5), 则 存在 整数 x 和 y, 使 得 
az 十 by 二 d, 特 殊 地 ,如 果 a 和 2 互 素 , 则 有 整数 x 和 > ,使 得 cz 十 by 一 1。 


4. 同 余 


设 整数 a,5,n(n 和 关 0), 如 果 a 一 2 是 nn 的 整数 售 , 即 a 二 5 十 kn,k 为 整数 , 则 “三 
b(mod n) , 称 为 a 同 余 于 6 模 nw。 也 可 理解 为 a/n 的 余数 等 于 b/n 的 余数 。 

模 运算 ,也 就 是 求 余 运算 。(mod mn) 运算 将 所 有 的 整数 (无 论 小 于 nn 还 是 大 于 nn) ,都 映 
射 到 {0,1,…,n 一 1) 组 成 的 集合 。 

模 运算 显然 具有 下 列 几 个 性 质 。 

(1) (a modn) + (b mod n) (十 0) mod n。 

(2) (a mod 1)—(b mod n) 二 (a—b) mod n。 

(3) (a mod n)X(b mod n)=(aXb) mod >。 

这 里 仅 对 第 三 个 性 质 进行 证 明 : 

设 z= a modn,y 二 5 modn, 即 z=a 十 有 ns,y 二 5 十 kon,ki 和 ks 为 整数 。 那 么 

(amodn)X (bmodn)= Zy (a kin) (b+ kan) = abt (akst bki tkik2mn)n 
因为 ec, ,k,n 丝 为 整数 ,所 以 (aks 十 bki 十 有 ikon) 三 K 也 是 整数 , 即 
(amodn)X(b mod 2) 一 ao 十 Km 











(Ca modn)X(b modn) (aXb) modn 


性 质 : 有 整数 a,b,c,n(n 天 0) 。 
(1) 如 果 ac 三 2(mod n) ,2=cCmod n) ,那么 a 三 c(mod n)。 
(2) 如 果 a 三 b(mod n) ,c 三 d(mod n) ,那么 a 十 c 夺 6 十 ds,a 一 c 三 6 一 d ,ac 三 bd (mod n)。 
证 明 (1): 因为 a 三 b(mod n) ,6b 三 c(mod n), 即 
a=b+hin,b = ct kn 





所 以 
a=c 二 kon 二 kin = c+ (kk,)n 

即 a 等 于 c 加 上 7 的 整数 倍 , 即 a 三 c(mod n)。 

证 明 (2): 这 里 仅 证 明 ac 寺 bd (mod n)。 

因为 

a 三 b(mod n),cd(modn) 
即 
a=b+hkinc= d+ kn 
所 以 
ac = (b+ hkin) (d+ kn) = bd + (bk dk tnkik,)n 

其 中 二 (bks 十 dk 十 nkikz) 为 整数 , 即 
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ac 一 bd 十 天 7 
ac 三 bd (mod n) 


【 例 4-1】 利用 模 运算 的 性 质 ,计算 11’ (mod 13)。 

解 : 这 里 我 们 并 没有 必要 先 计算 117 ,然后 除 以 13 求 余数 。 
因为 11 二 11(mod 13) 

所 以 11? 圭 (11X11)(mod 13) 寺 121(mod 13) 寺 4(mod 13) 
所 以 11 寺 4? (mod 13) 寺 3(mod 13) 

所 以 11' 寺 (11X4X3)(mod 13) 二 132(mod 13) 二 2(mod 13) 
所 以 11’ (mod 13)==2 

请 读者 自行 计算 2 mod 789( 答 案 : 2124mod 789 一 481) 。 





5. 除法 


定理 : 设 整数 a,b,c,n(n 了 关 0), 有 目 gcd(a,n) 二 1, 如果 ab 三 ac (mod n), 那 么 5 三 
c(mod 7z) 。 

证 明 : 因为 gcd(e,z) 一 1 

所 以 存在 整数 x 和 ,使 得 az 十 by 二 1( 见 最 大 公约 数 性 质 ) 

两 边 同 乘 (0 一 c) 得 到 : (4 一 中 (az 十 by) 二 5 一 c, 即 

(ab 一 ac)z 十 PC 一 c)y 一 0 一 c (4-1) 

因为 ab 硅 ac(mod nn), 即 a6b==ac 十 kn(ki 为 整数 ) 

所 以 (ab 一 ao) 是 nn 的 信 数 ,同时 ,n(b5 一 上 )y 当然 也 是 的 倍数 ,所 以 两 者 相 加 (ab 一 ac)z 十 
n(b 一 c)y 所 得 也 是 的 倍数 。 

所 以 由 式 (4-1) 得 : 5 一 c= 二 kon,k 为 整数 , 即 5 二 c(mod n)。 








422 欧 几 里 得 算法 


当 要 求 两 个 整数 a 和 2 的 最 大 公约 数 gcd(a,5) 时 ,如 果 a 和 2 的 值 比较 小 ,可 以 很 容易 
地 求 出 它们 的 最 大 公约 数 , 但 是 如 果 a 和 4 的 值 很 大 , 则 不 那么 容易 了 。 这 里 可 以 采用 欧 几 
里 得 (Euclid) 算 法 。 

欧 几 里 得 算法 基于 以 下 的 定理 : 对 于 任意 非 负 整数 a 和 任意 正 整 数 5 ,有 

gcd(a,b) = gcd(b.a mod b) 

例如 ,gcd(55,22) 二 gcd(22,55 mod 22) 一 gcd(22.11) 一 11。 

其 算法 描述 如 下 : 

(1) A<a,B<0; 

(2) 若 B 二 0, 则 返回 A 二 gcd(a,5); 

(3) R=A mod B; 

(4) A—B; 
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(5) BO—R:; 
(6) 转 到 (2) 。 
【 例 4-2〗 求 gcd(1180,482)。 
解 : 因为 1180 二 2X482 十 216, 即 216 一 1180 mod 482 ,所 以 
gcd(1180,482) = gcd(482,216) 
同 理 ,482 二 2X216 十 50, 即 50 一 482 mod 216 ,所 以 
gcd(1180,482) = gcd(482,216) = gcd(216,50) 
依 此 类 推 
gcd(1180,482) = gcd(2,0) = 2 
或 可 以 直接 通过 如 下 推导 : 
1180 = 2 X 482 二 +216 
482 一 2X216 十 50 
216 = 4X50+16 
50 一 3X16 十 2 
16=8X2+0 
所 以 gcd(482,1180)=2 


423 乘法 逆 元 


定义 : 如 果 gcd(a,0) 王 1 ,那么 : 

(1) 存在 co- ,使 <Xa-:=1 mod 6b, 即 (aXaT!) modb 一 1; 

(2) 存在 64671, 使 bXb7! 寺 1 mod a, 即 (0XO:) mod a=1。 
这 里 ,把 a ' 称 为 a 模 b 的 乘法 逆 元 ,5"' 称 为 5 模 a 的 乘法 逆 元 。 

例如 ,5 模 14 的 乘法 逆 元 是 3, 因 为 5X3=15Cmod 14)= 二 1。2 模 14 却 没 有 乘法 逆 元 。 

一 般 而 论 ,如 果 a 和 ?是 互 素 的 , 即 gcd(a.n) 二 1, 那 么 a 模 n 的 乘法 逆 元 a ! 二 
zz (mod n) 有 唯一 解 ; 否则 ,a ! 三 x (mod n) 无 解 。 

那么 ,如 果 a 和 互 素 , 如 何 才 能 计算 出 a 模 n 的 乘法 逆 元 呢 ? 将 欧 几 里 得 算法 做 扩展 
( 称 为 扩展 的 欧 几 里 得 算法 ) 即 可 用 于 求解 乘法 道 元 。 详 细 的 算法 这 里 不 做 费 述 , 仅 通 过 一 
个 例题 使 读者 了 解 其 中 的 技巧 。 

【 例 4-3】 求解 11111 模 12345 的 乘法 逆 元 , 即 求解 xz, 使 得 11111z (mod 12345) 一 1 。 

解 : 首先 根据 欧 几 里 得 算法 计算 这 两 个 数 的 最 大 公约 数 gcd(11111,12345) ,如果 结果 


为 1, 本 题 才 有 解 。 
因为 
12345 = 1 X 11111 十 1234 (4-2) 
11111 = 9X 1234+5 (4-3) 
1234 一 246 X5 十 4 (4-4) 
5=1xXx4+1 (4-5) 
4 一 4X1 十 0 





所 以 


第 4 章 公 铀 密码 体制 67 





gcd(11111,12345) = gcd(4,1) = 1 
然后 ,由 上 面 的 推导 再 一 步 一 步 反 推 回去 : 


由 式 (4-5) 可 得 : 1 二 5 一 1 X4 (4-6) 
由 式 (4-4) 可 得 : 4 二 1234 一 246X5 (4-7) 
由 式 (4-3) 可 得 : 5 一 11111 一 9X1234 (4-8) 
由 式 (4-2) 可 得 : 1234 王 12345 一 1X11111 (4-9) 


将 式 (4-7) 代 入 式 (4-6)、 式 (4-8) 代 入 式 (4-7)、 式 (4-9) 代 人 式 (4-8) 可 得 

1 一 5 一 1X(1234 一 246X5) 一 247X5 一 1X1234 

一 247X (11111 一 9X1234) 一 1 X 1234 

=247 X 11111 一 2224 X 1234 

一 247X11111 一 2224X(12345 一 1X11111) 

一 2471 X 11111 一 2224 X 12345 
由 此 可 得 11111 模 12345 的 乘法 逆 元 为 2471, 因 为 2471X11111 (mod 12345) 一 1。 
与 此 同时 ,也 得 到 了 12345 模 11111 的 乘法 道 元 为 一 2224。 








424 费 尔 马 小 定理 


费 尔 马 (Fermat) 小 定理 : 如 果 p 是 一 个 素数 , 且 a 不 是 p 的 倍数 , 则 a“! 三 1 (mod p)。 
证 明 : 设 有 一 整数 空间 S=={1,2,…,p 一 1}; 再 设 有 一 函数 (7) 二 azr(mod p),X€5， 
显然 ,和 (zx) 二 p。 
(1) 首先 证 明 对 于 任何 zxES,. 有 更 (z)ES, 即 更 (z) 天 0。 采 用 的 方法 是 反 证 法 。 
假设 亚 (z) =0:, 那 么 az 三 0 (mod p) [Oy 
因为 p 是 一 个 素数 , 且 a 不 是 p 的 倍数 ,所 以 gcd(a,p) 二 1, 那 么 根据 除法 定理 , 式 外 两 
边 可 同 除 以 a, 即 x 夺 0 (mod p), 也 就 是 说 能 被 p 整除 ,这 与 TE S 相 矛 盾 。 所 以 (x) ES 
得 证 。 
(2) 然后 证 明 对 于 zES 和 yES,z 关 y, 有 亚 (z) 隆 炎 (y)。 采 用 的 方法 是 反 证 法 。 
假设 有 zz 和 >y,z 天 y, 有 下 (z) 一 严 (y) , 即 az (mod p) 二 ay (mod p), 那 么 
ar 三 ay (mod p) @ 
因为 p 是 一 个 素数 , 且 a 不 是 p 的 倍数 ,所 以 gcd(a,p) 二 1, 那 么 根据 除法 定理 , 式 @ 两 
边 可 同 除 以 a, 得 到 z 三 y (mod p), 即 x 一 y= 二 kp,k 为 整数 。 
而 1x 志 p 一 1,1 志 yp 一 1, 所 以 & 只 能 为 0。 亦 即 z= 二 y, 与 zx 关 y 矛盾。 
所 以 , 严 (z) 天 更 (y) 得 证 。 
通过 以 上 两 步 证 明 可 知 , 对 于 集合 S 二 (1,2,….p 一 1) .把 S 中 的 之 一 1 个 元 素 代 和 信函 
数 亚 (zx) 二 ar(mod p), 得 到 p 一 1 个 函数 值 组 成 的 集合 ,其 实 就 是 S 自身 , 即 天 一 S。 
那么 把 这 两 个 集合 中 的 元 素 分 别 进行 乘积 ,所 得 的 结果 也 应 该 相等 : 
1X2X…X (pb 一 1) 一 更 (1) Xx V2) X… xX Vv(p—1) 
=(aX1)(mod p) XxX (aX 2)(mod p)X… 
Xx[Laxp—1)]mod p) 





根据 模 运 算 的 乘法 定理 可 得 : 


68 信息 安全 原理 及 应 用 (第 3 版 ) 





1X2xXx:…X(p—1)=a [1lX2X.… Xx(p—1)](mod p) ® 
因为 p 是 一 个 素数 ,所 以 ,gcd(j,p)==1,j 二 1,2,…,p 一 1。 根 据 除法 定理 , 式 @ 的 左右 
两 边 可 依次 同 除 以 1,2,…,z 一 1, 得 到 1=a2 (mod p), 即 a?7! 圭 1 (mod p) 得 证 。 


425 欧 拉 函 数 和 欧 拉 定理 


1. 欧 拉 函数 


定义 : 小 于 nn 上 且 与 n 互 素 的 正 整 数 的 个 数 , 记 为 @(z) ,把 B(n) 称 为 欧 拉 函 数 。 
显然 ,对 于 素数 p, 每 一 个 小 于 p 的 正 整 数 皆 与 p 互 素 ,所 以 有 B(p) 一 p 一 1。 
定理 : 设 有 两 个 素数 p 和 g,p 隆 gq, 那么 对 于 nn 二 pq, 有 
Bn) = Bpq) = Bp) XGO) = (p—1) Xx((g—1) 
证 明 : 小 于 nn 的 正 整数 为 {1,2,…, (pg 一 1)) ,一共 (pg 一 1) 个 。 其 中 与 不 互 素 的 有 
{p,2p,…,(g 一 1)p} 和 {gq,2g,…,(p 一 1)g) ,分 别 为 (g 一 了 个 和 (pp 一 了 个 。 所 以 ,@(n) 一 
(pq 一 1D) 一 (q 一 D) 一 (一 1D)= (p 一 1) (g 一 1) 二 @(p) XB(g), 得 证 。 











2. 欧 拉 定 理 


欧 拉 定理 : 对 于 任意 互 素 的 整数 a 和 nn, 有 a”” 三 1 mod n, 这 里 B(n) 是 欧 拉 函数 。 
例如 : 





a=3,n= 10,8(10) = 4,3: = 81 三 1 mod 10 
a=2,n= 11,9(11) 10:2* 1024 1 mod 11 

下 面 证 明 欧 拉 定 理 。 

对 于 整数 ,与 互 素 的 数 有 DO) 个 , 令 这 些 数 为 R= 二 {zz ,zo,… ,Tow), 用 a 与 RR 中 
的 每 一 个 元 素 相 乘 并 模 , 得 到 集合 S= {axi (mod n) ,az (mod n),… ,azrew (mod n)})。 

下 面 要 证 明 的 是 ,S 其 实 就 是 RR, 即 二 R。 证 明 过 程 分 两 步 : 

(1) 首先 证 明 (ax; mod n) ER,i==1,2,…,@(n)。 即 证 明 S 中 的 每 一 个 元 素 都 属于 R。 
因为 a 与 n 互 素 ,zx; 与 2 也 互 素 ,所 以 ,ar 与 n 也 互 素 ; 又 因为 (az mod n) 二 n, 所 以 ， 
(azi mod n) ER, 

(2) 然后 证 明 S 中 的 元 素 是 唯一 的 , 即 对 于 不 相等 的 zx 和 zz, 有 axi(mod 7) 天 
azxs(mod n)。 采 用 反 证 法 。 假 设 在 R 中 存在 zx! 关 xs ,使 得 axi (mod n) 二 axs (mod n)。 

如 果 ar (mod n) 二 axs(mod n) ,根据 模 运 算 的 乘法 定理 可 知 : (a mod n) (zximod 7 一 
(a mod n) (zs mod 2) , 即 rz mod n= 二 zs mod n, 因 为 zx! 和 zs 均 小 于 nn, 所 以 ,zi 二 zs ,这 与 
假设 相 了 矛盾 ,得 证 。 

通过 以 上 两 步 可 知 ,S==R。 

既然 5S 二 R, 那 么 S 中 各 元 素 相 乘 等 于 R 中 各 元 素 相 乘 , 即 


Bn) Pn) 


[lx 一 IIla Zimod 7 
i=1 


这 1 

















亦 即 zi Xz X…Xzreom 王 (azl mod zz) (azs mod n)* (azrew mod n) 
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一 〈aem 


mod n) (zi mod n) (zs mod 22)… (zoom mod n) 
一 (am mod n) (zi XzzX…XZeom) 


两 边 同 时 约 去 zi Xzz XX…Xzew ,得 到 1 一 am mod n, 即 a*" 圭 ] mod n。 
426 离散 对 数 


1. 本 原 根 


由 Euler 定理 可 知 , 互 素 的 a 和 nn, 有 a”" 夺 1 mod n, 其 中 @(2) 是 欧 拉 函 数 , 指 小 于 ?7 
且 与 n 互 素 的 正 整 数 的 个 数 。 也 就 是 说 ,至 少 存在 一 个 整数 , 使 a" 寺 1 mod n 成 立 。 

那么 ,把 使 得 a" 三 1 mod n 成 立 的 最 小 正 圭 到 , 称 为 a 的 阶 ,或 称 为 a 所 属 的 模 n 的 指 
数 , 亦 或 称 为 a 所 产生 的 周期 长 。 

例如 ,7! mod 19==7,7? mod 19= 二 11,7; mod 19= 二 1。 那 么 

74 mod 19 = (7 X7) mod 19 = (7 mod 19) X (73 mod 19)=7XxX1=7 

所 以 ,7* mod 19 一 73 mod 19 = 二 1,7*ti mod 19= 二 (7*X7i) mod 19 一 7 mod 19。 因 此 ,m==3， 
即 7 所 属 的 模 19 的 指数 等 于 3。 

如 果 使 得 a" 三 1 mod n 成 立 的 最 小 正和 m 满足 mm 二 @B(n), 则 称 a 是 n 的 本 原 根 。 

本 原 根 的 性 质 如 果 a 是 的 本 原 根 , 且 x 二 4? mod mazs 一 oz mod ns, Xo 一 
ae mod n, 那 么 zi 天 zs 天 … 天 zoom ; 且 zoww 二 1。 

特别 地 ,对 于 素数 p, 若 a 是 p 的 本 原 根 , 则 (a’ mod p) 关 (a? mod p)… 关 (a*”! mod p)。 


2. 离散 对 数 


某 素数 p, 有 本 原 根 a, 目 Xi 二 =a! mod p,X: 二 a? mod p,…,XX,-1 二 a ! mod p ,那么 有 
X12 

令 S={zisz2 ,Tp-1)，;T 二 {1,2,…,p 一 1} ,那么 显然 有 S=T。 

对 于 任意 整数 5, 可 以 表示 为 6 三 r mod p (0 三 r 壹 p 一 1), 当 r 关 0 时 ,也 就 是 说 rET, 即 
r 的 值 等 于 集合 S 中 的 某 个 元 素 x; 二 a’ mod p, 即 对 于 5b 和 素数 p 的 本 原 根 w, 有 了 唯一 的 寡 
记 ,使 得 二 a’ mod p,0 志 i 三 p 一 1。 这 里 的 指数 i 称 为 a 模 p 的 5 的 指标 ,或 称 离 散 对 数 , 记 
为 inds,s(5)。 当 r==0 时 ,离散 对 数 无 解 。 

离散 对 数 的 性 质 。 

(1) inds,p(1) 二 0 (因为 wa mod p 二 1 mod pp 二 1)。 

(2) inds,p la) 二 1 (因为 a! mod p= 二 a)。 

(3) inds,y Cry) [inds,y (7) + inds,s (y)] mod GCp)。 

证 明 : 因为 


区 一 Cindp( 


ind,,s (3) 


mod py=a mod pry = a™ HS mod p 


所 以 

inds,p (mod p = a™bp Htinds,pY mod p (4-10) 
根据 欧 拉 定 理 ,对 于 互 素 的 整数 a 和 p, 有 a”? 寺 1 mod p, 即 a? ! 寺 1 mod p。 

所 以 对 于 任意 整数 i, 有 a*?*? mod pb 一 (ao mod p)(a** ? mod p)=a’ mod p。 

所 以 由 式 (4-10) 可 知 ,inds,s (zy) 王 [ind(Cz) 十 inds(Cy)] 十 &(b 一 1) 王 [ind (Cz) 十 


a 
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ind,(y)] 十 &G(P) 。 

即 inds,, (xy) 三 [inds,p (x) 二 inds,p (y)]」 mod G(Cp) ,得 证 。 

由 性 质 (3) 可 得 到 如 下 性 质 。 

(4) inds,s (y")=[rXind,,,(y)] mod GCp) 。 

离散 对 数 的 这 4 个 性 质 与 普通 对 数 的 性 质 (log, (1) 二 0; log-(z) 一 1; log; (yz) 一 
log: (y) 十 log; (x) ; log:(y") 二 7 log;(y)) 非 常 相似 , 正 是 这 个 原因 , 才 把 “指标 ”又 称 为 “离散 
对 数 ”。 

通常 , 求 离散 对 数 是 非常 困难 的 。 

对 于 方程 > 一 g* mod p ,如果 给 定 g,zx,p, 要 计算 y 是 比较 容易 的 。 

但 如 果 给 定 y,g,p, 求 x 二 inds,,(y)( 求 离散 对 数 ) 是 非常 困难 的 ,其 难度 与 RSA 中 因 
子 分 解 素数 之 积 的 难度 有 相同 的 数量 级 。 这 也 正 是 离散 对 数 被 用 于 密码 学 的 原因 。 





43 公 钥 密码 体制 的 基本 原理 


公 钥 密码 学 与 其 他 密码 学 完全 不 同 。 公 和 钥 算 法 使 用 两 个 独立 的 密 钥 ,每 个 用 户 都 有 一 
对 选 定 的 密 钥 ( 公 钥 已 , 私 钥 心 ) ,公开 的 密 钥 已 可 以 像 电话 号 码 一 样 进行 注册 公 
公 钥 密码 算法 基于 数学 函数 而 不 像 传统 加 密 体 制 那样 基于 代 换 和 置换 。 


431 公 钥 密码 体制 的 基本 构成 


公 钥 密码 体制 依赖 于 一 个 加 密 密 钥 和 一 个 与 之 相关 的 不 同 的 解密 密 钥 。 公 和 钥 密 码 体制 
由 4 个 部 分 组 成 。 

(1) 明文 : 算法 的 输入 ,它们 是 可 读 信息 或 数据 ,用 M 表示 。 

(2) 密 文 : 算法 的 输出 。 依 赖 于 明文 和 密 钥 ,对 给 定 的 消息 ,不 同 的 密 钥 产生 密 文 不 
同 , 用 C 表 示 。 

(3) 公 钥 和 私 钥 : 算法 的 输入 。 这 对 密 钥 中 一 个 用 于 加 密 ,为 K., 此 密 钥 公开 ; 一 个 用 
于 解密 ,为 Ku, 此 密 钥 保密 。 加 密 算法 执行 的 变换 依赖 于 密 钥 。 

(4) 加 密 、 解 密 算 法 。 应 用 两 个 不 同 的 密 钥 : 一 个 是 公开 的 ; 另 一 个 是 秘密 的 。 从 公开 
密 钥 (简称 为 公 钥 ) 很 难 推断 出 私人 密 钥 (简称 私 钥 )。 持 有 公 钥 的 任何 人 都 可 以 加 密 消息 
但 却 无 法 解密 。 只 有 持 有 私 钥 的 人 才能 够 解密 。 

一 般 的 情况 下 ,网 络 中 的 用 户 约定 一 个 共同 的 公 钥 密 码 系 统 , 每 个 用 户 都 有 自己 的 公 钥 
和 私 钥 ,并 且 所 有 的 公 钥 都 保存 在 某 个 公开 的 数据 库 中 ,任何 用 户 都 可 以 访问 此 数据 库 , 一 
来 可 以 把 自己 的 公 钥 上 传 到 此 数据 库 . 二 来 可 以 从 该 数据 库 下 载 别 人 的 公 钥 。 这 样 一 次 基 
于 公 钥 加 密 体 制 的 秘密 通信 (例如 ,发 送 方 为 Alice, 接 收 方 为 Bob) 的 过 程 如 图 4-1 所 示 , 具 
体 可 以 描述 如 下 : 

(1) Alice 从 公开 数据 库 中 取出 Bob 的 公 钥 K.。 

(2) Alice 用 Bob 的 公 钥 加 密 她 要 传 给 Bob 的 消息 ,然后 传送 给 Bob: C=E(M,K.)。 

(3) Bob 用 他 的 私 钥 解密 Alice 的 消息 。M== D(C, Ks)。 
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4-1 公 钥 密码 体制 下 的 秘密 通信 


这 种 公 钥 加 密 体制 有 许多 传统 加 密 体制 所 没有 的 特点 : 

(1) 加 密 和 解密 能 力 分 开 。 

(2) 多 个 用 户 加 密 的 消息 只 能 由 一 个 用 户 解读 ,可 用 于 公共 网 络 中 实现 保密 通信 。 

(3) 用 私 钥 加 密 的 消息 可 以 用 对 应 的 公 钥 解密 ,所 以 由 一 个 用 户 加 密 消 息 而 使 多 个 用 
户 可 以 解读 ,可 用 于 认证 系统 中 对 消息 进行 数字 签字 。 

(4) 无 须 事先 分 配 密 钥 。 

(5) 密 钥 持 有 量 大 大 减少 。 在 n 个 用 户 的 团体 中 进行 通信 ,每 一 用 户 只 需要 持 有 自己 
的 私 钥 , 而 公 钥 可 放置 在 公共 数据 库 上 , 供 其 他 用 户 取 用 。 这 样 ,整个 团体 仅 需 拥有 对 密 
钥 , 就 可 以 满足 相互 之 间 进行 安全 通信 的 需求 (实际 中 , 因 安 全 方面 的 考虑 ,每 一 用 户 可 能 持 
有 多 个 密 钥 , 分 别 用 于 数字 签名 、 加 密 等 用 途 。 此 种 情况 下 ,整个 团体 拥有 的 密 钥 对 数 为 n 


的 倍数 。 但 即使 如 此 ,与 使 用 对 称 密码 技术 时 需要 2 二 也 个 不 同 的 密 钥 相 比 , 需 要 管理 的 
密 乌 数量 仍 显著 减少 ) 。 


(6) 提供 了 对 称 密码 技术 无 法 或 很 难 提供 的 服务 : 如 与 哈 希 函数 联合 运用 可 生成 数字 
签名 、 可 证 明 的 安全 伪 随 机 数 发 生 器 的 构造 ,以 及 零 知 识 证 明 等 。 


432 加 密 解 密 协 议 


当 通 信 双 方 进行 保密 通信 时 ,根据 其 需要 不 同 ,选择 的 加 解密 密 钥 也 不 同 。 以 Alice 和 
Bob 作为 通信 双方 。Alice 的 密 钥 为 Ks 和 KK。 ,Bob 的 密 钥 为 Ks 和 Kw ,其 中 K。。 和 KK, 为 
公 钥 ,保存 在 某 个 公开 数据 库 中 。 


1. 保证 机 密 性 
保证 消息 机 密 性 的 传输 方式 在 4. 3. 1 节 中 已 阐述 过 。 即 Alice 从 公开 数据 库 中 取出 
Bob 的 公 钥 Ks ,然后 用 Bob 的 公 钥 加 密 她 的 消息 并 传送 给 Bob: C= 尼 CM,Kuw) ,最 后 Bob 


用 自己 的 私 钥 解密 Alice 的 消息 M=D(M ,Ks ) 。 
具体 过 程 如 图 4-2 所 示 。 


E | | 
+9- 量 -9 中 
Koe E(M,Kse) Koa 
4-2 仅 保 证 消息 的 机 密 性 
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这 个 协议 很 好 地 保证 了 数据 的 机 密 性 。 当 通信 信道 中 有 人 截获 了 密 文 ,由 于 不 知道 
Bob 的 私 钥 Ki ,无 法 解 出 对 应 的 明文 。 

但 这 个 方法 无 法 保证 信息 的 真实 性 。 这 是 因为 密 钥 库 是 共享 的 ,任何 人 都 能 够 查 到 
Bob 的 公 钥 Ks ,因此 任何 人 都 可 以 冒充 Alice 通过 发 送 假 密 文 C= 二 E(M, Ki ) 来 发 送 假 数 
据 M 给 Bob, 而 Bob 不 能 发 现 。 

为 了 确保 数据 的 真实 性 ,可 以 采用 下 面 的 协议 。 


2. 保证 真实 性 

(1) Alice 首先 用 自己 的 私 钥 人 加 密 M ,得 到 密 文 C: C=E(M, Ka)。 
(2) 将 C 发 送 给 Bob。 

(3) Bob 接收 到 C 后 ,在 数据 库 里 查 到 Alice 的 公 钥 K。。 


(4) 用 K。. 解 密 C 得 到 M: M=D(C,K,.)。 
具体 过 程 如 图 4-3 所 示 。 


Ka E(M,Kaa) Koe 


4-3 保证 消息 的 真实 性 























由 于 只 有 Alice 才 拥 有 Ka ,所 以 只 有 用 户 A 能 够 发 送 数 据 已 C(M,K。s )。 假 设 有 人 周 
充 A, 用 自己 的 私 钥 Ki 加密 明 文 M ,得 到 ECM,K ),Bob 收 到 E(M, Kw) 后 ,是 无 法 用 
Alice 的 公 钥 K。. 解 密 得 到 明文 M 的 。 

然而 这 一 协议 不 能 确保 数据 的 机 密 性 。 因 为 公 钥 数 据 库 共享 ,任何 人 都 能 够 得 到 A 的 
公 钥 K。 ,因此 任何 人 都 可 以 对 ECM, Ka ) 解 密 获得 数据 M。 


3. 既 保证 机 密 性 又 保证 真实 性 





(1) Alice 用 自己 的 私 钥 Ks 加 密 M ,得 到 密 文 C 王 ECOM,K。u ) 。 
(2) Alice 从 公开 数据 库 中 取出 Bob 的 公 钥 Ku 。 

(3) Alice 用 Bob 的 公 钥 Ku 加 密 Ci ,得 到 C: 一 ECC Ke) 。 

(4) 将 Cs 发 送 给 Bob。 

(5) Bob 接收 到 Cs 后 ,用 他 的 私 钥 Ki 解密 C; 得 到 密 文 Ci 。 
(6) Bob 用 KK 解密 Ci 得 到 M。 

具体 过 程 如 图 4-4 所 示 。 


19 击 9 出 9 由 9 二 


Kay CI=E(M,Kag) Kee E(CiKie) Koa G Kx 
































图 4-4 保证 消息 的 机 密 性 和 真实 性 


第 4 章 公 铀 密码 体制 73 





由 于 这 一 通信 协议 综合 利用 了 上 述 两 个 通信 协议 ,所 以 能 够 同时 确保 数据 的 机 密 性 和 
真实 性 。 具 体 的 ,由 于 只 有 Alice 才 拥 有 保密 的 密 钥 Ke ,而 且 由 公 钥 K。 在 计算 上 不 能 推 
导出 私 钥 开 se ,所 以 只 有 Alice 才能 进行 发 方 的 第 一 步 操作 ,才能 够 发 送 数据 M。 其 他 任何 
人 无 法 冒充 Alice。 从 而 确保 了 信息 的 真实 性 。 

又 由 于 只 有 Bob 才 拥 有 保密 的 解密 钥 Ks ,所 以 只 有 Bob 才能 够 进行 接收 方 的 第 二 步 
操作 ,才能 获取 明文 M。 从 而 确保 了 数据 的 秘密 性 。 

需要 进一步 说 明 的 是 ,在 这 个 协议 中 ,双方 使 用 密 钥 的 顺序 不 能 更 改 。 也 就 是 ,发 送 方 
必须 先 使 用 自己 的 私 钥 来 加 密 明 文 ,再 使 用 对 方 的 公 钥 来 加 密 中 间 密 文 ; 接收 方 先 使 用 自 
己 的 私 钥 解密 C, 得 到 中 间 密 文 , 然 后 再 使 用 对 方 的 公 钥 来 解 出 明文 M。 如 果 更 改 了 顺序 ， 
发 送 方 首先 使 用 了 对 方 的 公 钥 来 加 密 明 文 , 产 生 中 间 密 文 ,然后 用 自己 私 钥 加 密 中 间 密 文 。 
那么 密 文 在 发 送 过 程 中 如 果 被 人 截获 ,截获 者 可 以 先 利 用 发 送 方 的 公 钥 解密 密 文 ,得 到 中 间 
密 文 ,然后 用 自己 的 私 钥 对 中 间 密 文 进行 加 密 , 冒 充 发 送 方 将 密 文 发 送出 去 ,而 接收 方 无 法 
发 现 。 这 样 就 无 法 保证 信息 的 真实 性 。 


433 公 钥 密码 应 满足 的 要 求 


上 述 的 密码 体制 建立 在 基于 两 个 相关 密 钥 的 密码 算法 之 上 。Diffie 和 Hellman 假定 这 
个 体制 存在 ,虽然 没有 证 明 这 种 算法 的 存在 性 ,但 他 们 给 出 了 这 些 算法 应 该 满足 的 条 件 : 

(1) 用 户 产生 一 对 密 钥 (K.,K。) 在 计算 上 是 容易 的 。 

(2) 已 知 公 钥 和 要 加 密 的 消息 M, 发 送 方 产生 相应 的 密 文 C= 二 ECM,K.) 在 计算 上 是 容易 的 。 

(3) 接收 方 使 用 其 私 钥 对 接收 的 密 文 解密 M 二 D(CM .Ka) 在 计算 上 是 容易 的 。 

上 面 的 三 个 条 件 是 公 钥 密码 的 工程 实用 条 件 。 因 为 只 有 算法 高 效 , 密 码 才能 实际 应 用 。 
否则 ,可 能 只 有 理论 意义 ,而 无 实用 价值 。 

(4) 已 知 公 钥 K。 时 ,攻击 者 要 确定 其 对 应 的 私 钥 Ku 在 计算 上 不 可 行 。 

这 个 条 件 是 公 钥 密码 的 安全 条 件 , 是 公 钥 密码 的 安全 基础 ,而 且 这 一 条 件 是 最 难 满足 
的 。 由 于 数学 水 平 的 限制 ,目前 尚 不 能 从 数学 上 证 明 一 个 公 钥 的 算法 完全 满足 这 一 条 件 ,而 
只 能 证 明 它 不 满足 这 一 条 件 。 这 就 是 满足 这 个 条 件 困难 的 根本 原因 。 

(5) 加 密 和 解密 的 顺序 可 以 互 换 , 即 对 于 所 有 的 明文 都 有 D(CE(CM, 开 .), Ku) 一 
下 (DCOM,Ku) ,KK。) 一 M。 

在 公 钥 密码 学 概念 提出 后 的 几 十 年 中 ,事实 证 明 ,要 满足 以 上 条 件 是 很 不 容易 的 。 因 为 
这 些 要 求 最 终 可 以 归结 到 设计 一 个 单 向 陷 门 函数 。 单 向 函数 是 满足 下 列 性 质 的 函数 : 每 个 
函数 值 都 存在 唯一 的 逆 , 计 算 函 数值 是 容易 的 ,但 求 逆 却 是 不 可 行 的 : 

Y=FCX) 已 知 X 值 ,计算 Y 值 容易 ; 

X 一 广 !(Y) 已 知 Y 值 , 求 X 值 不 可 行 。 

一 个 实用 的 公 钥 密码 系统 的 建立 和 发 展 依赖 于 找到 一 个 单 向 陷 门 函数 。 这 个 函数 的 安 
全 性 决定 了 公 钥 加 密 算 法 的 安全 性 。 

和 对 称 密码 体制 一 样 ,如 果 密 钥 太 短 , 公 钥 密码 体制 也 易 受 到 穷 举 攻击 。 因 此 密 钥 必须 
足够 长 才能 抗击 穷 举 攻击 。 然 而 又 由 于 公 钥 密码 体制 所 使 用 的 可 逆 函 数 的 计算 复杂 性 与 密 
钥 长 度 常常 不 是 呈 线 性 关系 ,而 是 增 大 得 更 快 。 所 以 密 钥 长 度 太 大 又 会 使 得 加 解密 运算 太 
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慢 而 不 实用 。 因 此 公 钥 密码 体制 目前 主要 用 于 密 钥 管理 和 数字 签字 。 

对 公 钥 密码 算法 的 第 二 种 攻击 法 是 寻找 从 公 钥 计算 私 钥 的 方法 。 目 前 为 止 ,对 常用 公 
钥 算法 还 都 未 能 够 证 明 这 种 攻击 是 可 行 的 。 

自 1976 年 W. Diffie 和 M. E. Hellman 提出 了 公 钥 密码 的 概念 后 ,由 于 其 优良 密码 学 特 
性 和 广阔 应 用 前 景 , 很 快 吸引 了 全 世界 的 密码 爱好 者 ,他 们 提出 了 各 种 各 样 的 公 钥 密码 算法 
和 应 用 方案 ,密码 学 进入 了 一 个 空前 繁荣 的 时 代 。 然 而 公 钥 密 码 的 研究 并 非 易 事 , 尽 管 提出 
的 方案 很 多 ,但 能 经 得 起 时 间 考 验 的 却 寥寥 无 几 。 经 过 三 十 多 年 的 研究 和 发 展 ,目前 世界 公 
认 的 比较 安全 的 公 钥 密码 有 基于 大 数 分 解困 难 性 之 上 的 RSA 密码 类 和 基于 有 限 域 上 离散 
对 数 困难 性 的 ELGamal 密码 类 。 


44 RSA 公 钥 密 码 体制 


RSA 是 1977 年 由 美国 麻 省 理工 学 院 的 Ron Rivest、Adi Shamir 和 Leonard Adleman 
一 起 提出 的 。RSA 就 是 他 们 三 人 姓氏 开头 字母 拼 在 一 起 组 成 的 。 

RSA 算法 的 可 靠 性 基于 大 数 的 因子 分 解 问题 。 假 如 有 人 找到 一 种 很 快 的 分 解 因子 的 
算法 的 话 , 那 么 用 RSA 加 密 的 信息 可 靠 性 就 肯定 会 极度 下 降 。 但 找到 这 样 的 算法 的 可 能 性 
是 非常 小 的 。 今 天 只 有 短 的 RSA 密 钥 才 可 能 被 穷 举 方式 解 破 。 到 目前 为 止 ,世界 上 还 没有 
任何 可 靠 的 攻击 RSA 算法 的 方式 。 只 要 其 密 钥 的 长 度 足够 长 ,用 RSA 加 密 的 信息 实际 上 
是 不 能 被 解 破 的 。 

RSA 公 钥 密码 算法 是 目前 网 络 上 进行 保密 通信 和 数字 签名 的 最 有 效 的 安全 算法 之 一 。 
RSA 算法 的 安全 性 基于 数论 中 大 素数 分 解 的 困难 性 ,所 以 ,RSA 需 采 用 足够 大 的 整数 。 因 
子 分 解 越 困 难 ,密码 就 越 难 以 破译 ,加 密 强度 就 越 高 。 

由 于 RSA 密码 既 可 以 用 于 加 密 , 又 可 以 用 于 数字 签名 ,安全 、 易 懂 , 因 此 RSA 密码 已 经 
成 为 目前 应 用 最 广泛 的 公 钥 密码 。 许 多 国际 化 标准 组 织 , 如 ISO ITU 和 SWIFT 等 都 已 经 
接受 RSA 作为 标准 。Internet 的 E-mail 保密 系统 以 及 国际 VISA 和 MASTER 组 织 的 电 
子 商 务 协议 SET 协议 中 都 将 RSA 作为 传送 会 话 密 钥 和 数字 签名 的 标准 。 


441 RSA 算 法 


RSA 算法 使 用 了 乘 方 运算 。 

在 加 密 时 ,明文 M 经 过 加 密 运 算得 到 密 文 C: C 一 M' mod n。 

密 文 在 经 过 解密 得 到 明文 M: Cs mod "一 (M: mod n)* mod 7 一 M” mod 7 一 M。 

即 必须 存在 e,d.n, 使 M” mod ?一 M 成 立 。 这 里 以 ze 为 公 钥 , 私 钥 为 4d。 那么 ,现在 
的 问题 是 ,如 何 才能 找到 能 够 使 M” mod 一 M 成 立 的 参数 e,d,n 呢 ? 

RSA 算法 给 出 了 下 列 确定 e,d,n 的 方法 : 

(1) 确定 n: 独立 地 选取 两 大 素数 p 和 g( 各 100 一 200 位 十 进 制 数 字 ) ,计算 n 二 pXg。 

(2) 确定 e: 计算 的 欧 拉 函 数值 g(n) 二 (p 一 1)(g 一 1) ,随机 选择 一 整数 e, 使 得 1 三 
e 过 p(n) 和 gcd(y(n),e) 二 1 成 立 。 

(3) 确定 d: 计算 e。 模 g(n) 的 乘法 逆 元 , 即 为 d: ed 寺 1 mod p(n)。 
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下 面 证 明 一 下 通过 上 面 三 个 步骤 确定 的 e,d,n 的 确 能 够 使 M”mod "一 M 成 立 。 

证 明 : 因为 ed 二 1 mod p(n) 即 ed=kg(n)t1,k 为 整数 。 所 以 : Me = 二 Mr， 

(1) 如 果 M 和 7) 互 素 , 即 gcdCM,m) 王 1 。 

那么 ,根据 欧 拉 定理 (如 果 gcd(e,z) 一 1. 则 a*" 寺 1] mod n), 有 

Mr =]1 modn 
所 以 
Me = M*?" = MIM”"] modn=M[lJmodn=M modn 

(2) 如 果 M 和 不 互 素 , 即 gcd(M,n) 了 1, 即 M 和 n 有 大 于 1 的 公约 数 。 

因为 n= pq, 而 pg 都 是 素数 ,不 可 再 分 解 ,所 以 M 一 定 包含 了 p 或 g 为 因子 。 

又 因为 M<n, 所 以 M 不 可 能 既是 p 的 倍数 又 是 4 的 倍数 。 不 妨 设 M 是 p 的 倍数 ， 
M= 二 cp,c 为 整数 。 

由 于 M 不 是 g 的 倍数 ,所 以 gcdCM,q)=1, 则 M?”? 寺 1] mod g。 

所 以 :[M?? ]*” 二] mod g, 即 Mr 二 1 mod g, 那 么 M**" 寺 1] mod g。 即 Me 一 1 十 
bq,。 为 整数 。 

两 边 同 乘 以 M=cp, 则 





Mewti=~M+Mbp 

因为 M=cp, 所 以 

Me 一 M+cpbg = M+con 
因为 cb 为 整数 , 令 必 二 KK, 即 
Met? ‘w+1 二 M 十 Kn 
因为 ed 二 ky() 十 1, 所 以 M“ = 一 M+Kn, 即 
M” =M modn 

综 上 ,这 样 的 e,d,n 可 以 实现 加 密 C=M: mod n 和 解密 M 王 Ce mod n。 

根据 上 述 原理 ,RSA 算法 流程 可 描述 如 下 : 

(1) 选 两 个 保密 的 大 素数 p 和 g。 

(2) 计算 n==pXgig()==(p 一 1)(g 一 1), 其 中 p(n) 是 nn 的 欧 拉 函 数值 。 

(3) 选 一 整数 e, 满 足 1<e<p(n), 且 gcd(g(n),e)=1。 

(4) 计算 d ,满足 de 三 1 mod g(n), 即 d 是 e 在 模 gp(n) 下 的 乘法 逆 元 , 因 e 与 9g(n) 互 
素 , 由 模 运 算 可 知 , 它 的 乘法 逆 元 一 定 存 在 。 

(5) 以 {esn}) 为 公 钥 ,{d,n) 为 私 钥 。 

【 例 4-4】 选 p==7,g 二 17。 

求 n=pXg=119,9(n)=(p—1)(g—1)=96。 

解 : 取 e==5, 满 足 1 二 e 过 p(n), 且 gcd(y(n),e) 二 1。 确 定 满足 d*e 二 1 mod 96 且 小 于 
96 的 d ,因为 77X5= 王 385 一 4X96 十 1, 所 以 d 为 77。 

因此 公 钥 为 {5,119}), 私 钥 为 {77,119)}。 设 明文 m 二 19, 则 由 加 密 过 程 得 密 文 为 

C= 19 mod1192476099 mod 119 = 66 
解密 为 66"7mod 119 二 19。 























442 ”RSA 算法 在 计算 上 的 可 行 性 分 析 


在 4.3.3 节 中 阐述 了 公 钥 加 密 算 法 必须 满足 的 要 求 , 下 面 分 析 一 下 RSA 算法 是 否 能 够 
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达到 这 些 要 求 , 从 而 投入 实际 应 用 。 
1. 产生 密 钥 


RSA 算法 中 的 密 钥 包括 公 钥 n,e 和 私 钥 d。 

1) 确定 n 

在 RSA 算法 中 ,n 是 由 两 个 素数 的 乘积 来 确定 的 。 由 于 是 公开 的 ,为 了 避免 攻击 者 
用 穷 举 法 求 出 p 和 g (根据 =pg) ,应 该 从 足够 大 的 集合 中 选取 p 和 g, 即 p 和 g 必须 是 大 
素数 。 但 目前 还 没有 有 效 的 方法 可 以 产生 任意 大 素数 ,通常 使 用 的 方法 是 : 随机 挑选 一 个 
期 望 大 小 的 奇数 ,然后 测试 它 是 否 是 素数 ,车 不 是 , 则 挑选 下 一 个 随机 数 直 至 检测 到 素数 
为 止 。 

用 Miller-Rabin 素性 概率 检测 法 能 够 有 效 地 实现 素数 的 生成 。Miller 和 Rabin 提出 的 
素数 检测 算法 利用 了 费 尔 马 小 定理 , 即 如 果 是 素数 ,那么 a"! 寺 1(mod n)。 

Miller-Rabin 算法 可 以 确定 一 个 整数 是 合 数 ,但 不 能 确定 其 一 定 是 素数 。 不 过 尽管 如 
此 ,该 算法 所 产生 的 数 几乎 可 以 肯定 是 素数 。 

素数 检测 的 基本 思路 是 ,首先 分 析 一 下 素数 所 具有 的 特征 或 性 质 , 然 后 对 一 个 数 进行 测 
试 ,看 看 它 是 否 满足 素数 的 基本 性 质 ,如 果 不 具备 ,那么 它 一 定 是 合 数 ,如 果 具 备 ,那么 它 有 
可 能 是 素数 。 如 果 通 过 不 同 的 条 件 反复 测试 ,都 证 明 该 数 满足 素数 的 基本 性 质 ,那么 它 “ 的 
确 就 是 素数 ”的 概率 就 非常 高 了 (Agrawal 等 提出 的 ASK 算法 能 够 有 效 地 判定 一 个 大 数 是 
和 否 为 素数 ,但 由 于 计算 速度 不 快 , 而 没有 取代 Miller-Rabin 算法 ) 。 

那么 首先 来 看 看 素数 具有 哪些 性 质 。 

定理 : 如 果 pp 为 大 于 2 的 素数 , 则 方程 x? 寺 1 mod p 的 解 只 有 zz 三 1 mod p 和 zx 二 
一 1 mod p。 

证 明 : 因为 x? 夺 1 mod p, 所 以 x? 一 1 二 0 mod p, 即 (x 十 1) (x 一 1) 夺 0 mod p, 所 以 ， 

(1) zx 十 1 能 够 被 p 整除 , 即 因为 p|(z 十 1)。 

或 (2) zx 一 1 能 够 被 p 整除 , 即 p| (zx 一 1)。 

或 (3) z 十 1 能 够 被 p 整除 且 z 一 1 能 够 被 p 整除 . 即 pl(z 二 DD 有 pl(zx 一 1)。 

对 于 第 1 种 情况 : pl (zr 十 1), 即 x 十 1 二 0 mod p, 即 zx 圭一 ] mod p。 

对 于 第 2 种 情况 : pl (zx 一 1), 即 x 一 1 三 0 mod p, 即 x 三 1 mod p。 

对 于 第 3 种 情况 : p|(z 十 1) 且 p1(zx 一 1), 意 味 着 存在 整数 k 和 j ,使 得 zx 十 1 二 kp， 
Zz 一 1 三 jp; 两 式 相 减 , 即 2 二 (一 )p。 但 由 于 zp 为 大 于 2 的 素数 ,所 以 这 种 情况 实际 上 是 不 
可 能 成 立 的 。 

上 面 的 这 个 定理 表述 为 性 质 1 如 下 : 

性 质 1: p 为 大 于 2 的 素数 ,如 果 有 > 使 得 z?=1 mod p 成 立 ,那么 

zz mod jp 一 1. 或 zx mod p= 二 p 一 1。 

性 质 2: p 为 大 于 2 的 素数 ,可 以 表示 为 六 一 2 十 1,&>>0,d 为 一 奇数 。 设 a 是 一 个 整 
数 ( 二 a 二 p 一 1) ,那么 下 面 两 个 结论 必 有 其 一 成 立 : 

(1) az mod p=1, 即 a1 mod p。 

(2) 在 ar,a”,a*,…,a*1g 这 些 整 数 中 , 必 有 一 个 数 模 p 所 得 的 余数 为 p 一 1。 

证 明 : 根据 费 尔 马 小 定理 ,如 果 p 是 一 个 素数 ,上 且 a 不 是 p 的 倍数 , 则 a””' 寺 1 (mod p)。 
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又 因为 j 一 1 一 240 ,所 以 : ac:imod p 二 a**mod /一 1。 考 察 下 列 数列 ， 

amod 访 ,azamod 访 ,atamod 万, az amod 六 azamod p 

由 于 数列 中 的 最 后 一 个 数 a**mod p 等 于 1, 那么 根据 素数 的 性 质 1, 其 之 前 的 那个 数 
a* mod p 要 么 为 1, 要 么 为 p 一 1。 

如 果 为 p 一 1, 则 性 质 2 中 的 结论 (2) 成 立 ; 

如 果 为 1, 则 可 以 继续 根据 性 质 1 向 前 推算 ,如 果 全 部 都 为 1, 则 性 质 2 的 结论 1) 成 立 。 

得 证 。 

给 定 一 个 大 整数 ,对 其 进行 一 次 素数 测试 的 具体 算法 如 下 : 

根据 n 求 出 & 和 g,k 记 0,g 为 奇数 ,使 得 n 一 1 二 2*g; 

选择 一 个 随机 的 整数 a,1 二 a=<n 一 1; 


if aa modn = 1 then 


return("inconclusive"); 





else 
forj=0tok-1 
if a” ‘mod n=n-1 then 
return("inconclusive"); 
else 
return("composite" ) ; 


返回 值 composite 表示 n 为 合 数 ,inconclusive 表示 不 确定 合 数 ( 可 能 为 素数 ) 。 

对 ;个 不 同 的 a ,重复 调用 该 算法 ,如 果 每 次 都 返回 inconclusive, 则 ?是 素数 的 概率 大 
于 等 于 1 一 2 一 。 

通常 ,要 找到 一 个 2” 大 小 的 素数 ,在 找到 素数 之 前 大 约 要 进行 In(22" )/2=70 次 尝试 。 
在 N 附近 平均 每 隔 InN 个 整数 就 会 有 一 个 素数 。 因 此 ,找到 一 个 大 素数 ,在 计算 上 是 可 
行 的 。 

2) 确定 d 和。 

有 了 pp 和 9g, 可 计算 出 g(n) 二 (p 一 1) (gq 一 1) ,根据 gcdCp(z),e) 一 1 来 选择 e, 这 一 步 计 
算 量 也 不 大 ,因为 两 个 随机 数 互 素 的 概率 约 为 0.6。 

有 了 e, 再 计算 d=e ! mod p(z) ,这 里 用 的 是 扩展 的 Euclid 算法 。 

总 之 ,产生 密 钥 是 容易 的 。 另 外 ,攻击 者 也 无 法 从 公 钥 d 和 推导 私 钥 e。 其 原因 就 在 
于 大 数 分 解 的 困难 性 ,在 下 一 小 节 会 有 所 曾 述 。 


2. 加 密 /解密 





无 论 是 加 密 还 是 解密 都 需要 计算 某 个 整数 的 模 n 整数 次 窒 ,C 一 Mr mod ,M 一 C? mod n。 
如 果 直 接 计算 M: 青 进行 模 运算 ,计算 量 就 很 大 。 但 实际 上 不 需要 先 求 出 整数 的 竹 再 对 
取 模 ,而 可 利用 模 运算 的 性 质 : (a mod n)X(bmodn) 二 (aXb) modn。 对 于 M* modn, 可 
先 求 出 Mi mod n,M? mod n,M: mod 2 .… ,再 求 M* mod n。 因 此 ,算法 的 加 密 和 解密 运算 
在 计算 上 都 是 可 行 的 。 

另外 ,根据 公 钥 加 密 体 制 的 要 求 ,RSA 算法 的 加 密 / 解 密 运 算是 可 逆 的 , 即 

LM:) mod nj mod n=M;, 同 时 ,L(M’) mod n] mod 2 一 M。 
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443 ”RSA 的 安全 性 


攻击 公 钥 密码 系统 的 方法 有 如 下 几 种 : 

(1) 穷 举 法 : 对 此 防范 措施 应 为 使 用 长 的 密 钥 。 例 如 ,RSA 目前 建议 的 密 钥 长 度 为 
2048 位 。 但 是 由 于 公 钥 算法 依赖 于 单 向 陷 门 函数 ,计算 函数 的 复杂 性 与 密 钥 的 长 度 的 关系 
可 能 会 增长 得 更 快 。 因 而 密 钥 大 小 必须 足够 大 ,以 保证 安全 性 ,但 是 又 要 足够 小 以 增强 实 
用 性 。 

(2) 利用 数学 分 析 破 解 。RSA 的 安全 性 基于 大 数 分 解 质 因子 的 困难 性 。 小 合 数 的 因 
子 分 解 是 容易 的 ,然而 大 合 数 的 因子 分 解 却 是 十 分 困难 的 。 只 要 合 数 足够 大 ,分 解 因 子 是 足 
够 困难 的 。 

密码 分 析 者 攻击 RSA 密码 的 一 种 可 能 途径 是 截获 密 文 C, 从 中 求 出 明文 M。 他 们 知道 
M 二 C” mod n, 因 为 e 是 公开 的 ,要 从 C 中 求 出 明文 M ,必须 先 求 出 d, 而 a 是 保密 的 。 但 他 
们 知道 ,4d 二 =e ! mod g(n),e 是 公开 的 ,要 从 中 求 出 d ,必须 先 求 出 g(n) ,而 p(n) 是 保密 的 。 
但 他 们 又 知道 p(x) 二 (p 一 1D)(g 一 1), 要 从 中 求 出 g(7), 则 必须 先 求 出 p 和 9g, 而 p 和 g 是 保 
密 的。 要 求 出 p 和 gq, 只 能 对 进行 因子 分 解 。 当 足够 大 时 ,这 是 非常 困难 的 。 

因此 ,只 要 能 对 n 进行 因子 分 解 , 便 可 攻破 RSA 密码 。 由 此 可 以 得 出 ,破译 RSA 密码 
的 困难 性 大 于 等 于 对 进行 因子 分 解 的 困难 性 。 目 前 尚 不 能 证 明 两 者 是 否 确切 相等 ,因为 
不 能 确定 除了 对 n 进行 因子 分 解 的 方法 外 ,是 否 还 有 别 的 更 加 简捷 的 破解 方法 。 

1977 年 ,Mirtin Gardner 在 Scientific American 的 专栏 文章 中 介绍 了 RSA 算法 。 为 了 
显示 这 一 技术 的 威力 ,RSA 公司 的 研究 人 员 用 一 个 129 位 的 数 N 和 一 个 4 位 数 e 对 一 个 关 
于 秃 应 的 消息 做 了 编码 。Gardner 刊登 了 这 个 密 文 : 

96869 61375 46220 61477 14092 22543 55882 90575 99911 24574 31987 46951 20930 
81629 82251 45708 35693 14766 22883 98962 80133 91990 55182 99451 57815 154 

同时 给 出 了 N 和 e。RSA 公司 还 悬赏 100 美元 , 奖 给 第 一 个 破译 这 密码 的 人 。 他 们 甚 
至 预言 破解 这 个 难题 至 少 需要 4X10" 年 。 

17 年 后 ,一 批 松散 组 成 的 “因子 分 解 ” 迷 ,大 约 有 600 多 人 ,分 布 在 20 多 个 国家 。 他 
们 经 过 8 个 月 的 努力 最 后 于 1994 年 4 月 为 RSA-129 找到 了 64 位 数 和 65 位 数 两 个 素数 
因子 

11438 16257 57888 86766 92357 79976 14661 20102 18296 72124 23625 62561 84293 
57069 35245 73389 78305 97123 56395 87050 58989 07514 75992 90026 87954 3541 

一 34905 29510 84765 09491 47849 61990 38981 33417 76463 84933 87843 99082 0577 

X32769 13299 32667 09549 96198 81908 34461 41317 76429 67992 94253 97982 88533 
破译 的 明文 是 The magic words are squeamish ossifrage。 

因此 ,应 用 RSA 密码 应 密切 关注 世界 因子 分 解 的 进展 。 虽 然 大 合 数 的 因子 分 解 十 分 困 
难 ,但 随 着 科学 技术 的 发 展 ,人 们 对 大 合 数 因子 分 解 的 能 力 在 不 断 提高 ,而 且 分 解 所 需 的 成 
本 在 不 断 下 降 。 继 1994 年 4 月 RSA-129 被 破译 ,1996 年 4 月 RSA-130 也 被 破译 。1999 年 
2 月 由 美国 ,荷兰 .英国 .法国 和 澳大利亚 的 数学 家 和 计算 机 专家 ,通过 Internet, 历 时 1 个 
月 ,成 功 的 分 解 了 140 位 的 大 合 数 .破译 了 RSA-140。 同 年 RSA-155 被 破解 。2002 年 ， 
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RSA-158 也 被 成 功 因数 分 解 。2005 年 ,RSA-200 被 破解 。 

大 合 数 因子 分 解 算法 的 研究 是 当前 数论 和 密码 学 一 个 十 分 活跃 的 领域 。 目 前 大 合 数 因 
子 分 解 的 主要 算法 有 Pomerance 的 二 次 得 法 、Lenstra 的 椭圆 曲线 分 解 算法 和 Pollard 的 数 
域 得 法 及 广义 数 域 筛 法 进行 因子 分 解 所 需 的 计算 机 资源 。 

因此 今天 要 使 用 RSA 密码 ,首先 应 当 采 用 足够 大 的 整数 2。 普遍 认为 ,z 至 少 应 该 
1024 位 ,最 好 是 2048 位 。 估 计 在 未 来 一 段 比较 长 的 时 期 , 密 钥 长 度 介 于 1024 位 至 2048 位 
之 间 的 RSA 是 安全 的 。 

另外 ,为 了 防止 可 以 很 容易 地 分 解 n,RSA 算法 的 发 明 者 建议 p 和 g 还 应 满足 下 列 限制 
条 件 : 

(1) p 和 g 的 长 度 应 仅 相 差 几 位 。 对 于 1024 位 的 密 钥 而 言 ,p 和 g 都 应 在 105 一 10" 
之 间 。 

(2) (p 一 1) 和 (g 一 1) 都 应 有 一 个 大 的 素 因子 。 

(3) gcd(p 一 1,g 一 1) 应 该 较 小 。 


45 其 他 公 钥 密码 算法 
451 日 Gamal 密码 


ElGamal 密码 是 除了 RSA 密码 之 外 最 具有 代表 性 的 公 钥 密码 ,RSA 密码 建立 在 大 整 
数 因子 分 解 的 困难 性 之 上 ,而 EIGamal 密码 建立 在 离散 对 数 的 困难 性 之 上 。 大 整数 因子 分 
解 和 离散 对 数 问题 是 目前 公认 的 较 好 的 单 向 函数 ,因而 RSA 密码 和 ElGamal 密码 是 目前 
公认 的 安全 的 公 钥 密码 。 

ElGamal 密码 是 由 ElGamal 于 1985 年 提出 。 该 密码 系统 可 应 用 于 加 /解密 、 数 字 签 名 
等 ,其 安全 性 是 建立 于 离散 对 数 (discrete logarithm) 问 题 之 上 的 , 即 给 定 g,p 与 y= 二 g* mod 
p, 求 x 在 计算 上 不 可 行 。 下 面 简单 介绍 EIGamal 密码 的 密 钥 产生 .加 /解密 程序 .数字 签 名 
与 验证 等 算法 。 关 于 数字 签名 将 在 后 续 章节 中 详细 介绍 。 


1. 密 钥 产生 


(1) 任 选 一 个 大 素数 p, 使 得 p 一 1 有 大 素 因子 。 

(2) 任 选 一 个 mod p 的 本 原 根 g 。 

(3) 公布 bp 与 g。 

使 用 者 任 选 一 私 钥 xE 2 ,并 计算 公 钥 > 一 g* mod p。 


2. 加 密 程序 (m 为 明文 ) 


(1) 任 选 一 个 随机 数 ~E Z。 满足 gcd(r,p 一 1) 二 1, 并 计算 
da=g modp 
cos=mXy modp 

(2) 密 文 为 {ci ,cz})。 
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3. 解密 程序 


(1) 计算 zw 一 (ci)-: mod p。 
(2) 计算 明文 m=c; Xw mod p。 


4. 签名 程序 ( 欲 签 名 的 信息 为 m) 


(1) 任 选 一 个 随机 数 &E 2 满足 gcd(k,p 一 1) 二 1, 并 计算 
r=g:modp 
s=k!(m—zxXr) mod (p—1) 
(2) 签名 为 {r,s}。 


5. 验证 签名 程序 


验证 签名 : y’ Xr’ 二 g”"(mod p)。 

为 了 避免 选择 密 文 攻击 ,ElGamal 方法 于 签名 信息 时 用 消息 的 喻 希 值 h(m)( 在 后 续 音 
节 中 介绍 ) 取 代 m。 与 RSA 方法 比较 ,ElGamal 方法 具有 以 下 优点 : 

(1) 系统 不 需要 保存 秘密 参数 ,所 有 的 系统 参数 均 可 公开 。 

(2) 同一 个 明文 在 不 同 的 时 间 由 相同 加 密 者 加 密会 产生 不 同 的 密 文 ,但 EIGamal 方法 
的 计算 复杂 度 比 RSA 方法 要 大 。 


452 椭圆 曲线 密码 体制 


绝 大 部 分 使 用 公 钥 系统 都 使 用 RSA 算法 ,但 是 , 随 着 安全 使 用 RSA 算法 所 要 求 的 比特 
长 度 的 增加 ,使 用 RSA 算法 的 信息 处 理 负担 越 来 越 大 ,这 个 负荷 对 于 那些 进行 大 量 的 安全 
交易 的 电子 商务 站 点 尤其 明显 。 自 20 世纪 80 年 代 中 期 ,椭圆 曲线 理论 被 引入 数据 加 密 领 
域 ,逐步 形成 一 个 挑战 RSA 系统 的 公 钥 系统 -椭圆 曲线 密码 编码 学 (elliptic curve 
cryptography,ECC) 。 

椭圆 曲线 密码 是 基于 椭圆 曲线 数学 的 一 种 公 钥 密码 的 方法 。 椭 圆 曲 线 在 密码 学 中 的 使 
用 是 在 1985 年 由 Neal Koblitz 和 Victor Miller 分 别 独立 提出 的 。 其 依据 就 是 定义 在 椭圆 
曲线 点 群 上 的 离散 对 数 问题 的 难 解 性 。 椭 圆 曲线 在 代数 学 和 几何 学 上 已 经 广泛 研究 了 150 
多 年 之 久 , 有 丰富 而 深厚 的 理论 积累 。 

ElGamal 密码 是 建立 在 有 限 域 GF(p) 之 上 的 ,其 中 jp 是 一 个 大 素数 ,这 是 因为 有 限 域 
GF(p) 的 乘法 群 中 的 离散 对 数 问题 是 难 解 的 。 受 此 启发 ,在 其 他 任何 离散 对 数 问题 难 解 的 
群 中 ,同样 可 以 构成 ElIGamal 密码 。 于 是 人 们 开始 寻找 其 他 离散 对 数 问题 难 解 的 群 。 研 究 
发 现 ,有 限 域 GF(p) 上 的 椭圆 曲线 上 的 一 些 点 构成 交换 群 ,而 且 离 散 对 数 问题 难 解 。 于 是 
可 以 在 此 群 上 定义 ElGamal 密码 ,并 称 之 为 椭圆 曲线 密码 。 

ECC 的 主要 优点 是 它 可 以 用 少 得 多 的 密 钥 大 小 取得 和 RSA 相等 的 安全 性 ,因此 减 小 
了 处 理 开 销 。 另 外 ,经 RSA 实验 室 验证 ,从 目前 已 知 的 最 好 求解 算法 来 看 ,160 位 的 椭圆 曲 
线 密码 算法 的 安全 性 相当 于 1024 位 的 RSA 算法 ,并 且 ECC-160 加 /解密 的 速度 比 RSA- 


第 4 章 公 钥 密码 体制 81 





1024 快 约 5 一 8 倍 。 

椭圆 曲线 密码 的 另 一 个 优势 是 可 以 定义 群 之 间 的 双 线 性 映射 ,基于 Weil 对 或 是 Tate 
对 ; 双 线 性 映射 已 经 在 密码 学 中 发 现 了 大 量 的 应 用 ,如 基于 身份 的 加 密 。 
正 因 如 此 ,一 些 国 际 化 标准 组 织 已 把 椭圆 曲线 密码 作为 新 的 信息 安全 标准 ,如 IEEE 
P1364/D4、ANSI F9. 62 .ANSI F9. 63 等 标准 ,分 别 规范 了 椭圆 曲线 密码 在 Internet 协议 安 
全 、 电 子 商 务 `.Web 服务 器 、 空 间 通信 ,移动 通信 智能卡 等 方面 的 应 用 。 





46 公 钥 密码 算法 的 工作 机 制 


在 3.6 节 提 到 ,根据 香农 对 安全 加 密 的 定义 ,必须 保证 攻击 者 不 能 根据 密 文 推断 出 关于 
明文 的 任何 信息 。 因 此 ,确定 性 的 加 密 算 法 并 不 能 直接 用 于 加 密 信 息 , 公 钥 密 码 算法 也 是 如 
此 ,直接 用 公 钥 密码 算法 来 进行 加 密 和 解密 是 不 安全 的 。 另 外 ,与 对 称 密 码 算法 相 比 , 公 
密码 算法 往往 具有 更 高 的 计算 代价 。 因 此 ,在 实际 应 用 中 , 公 钥 密码 算法 通常 并 不 直接 用 于 
加 密 数 据 , 而 是 和 对 称 密码 算法 结合 起 来 : 用 对 称 密码 算法 来 加 密 数 据 ,用 公 钥 密码 算法 来 
加 密 对 称 密码 算法 使 用 的 密 钥 。 

本 节 介 绍 公 钥 密码 算法 在 实际 应 用 中 的 工作 机 制 。 


461 ISO 推荐 标准 


RSA 是 目前 最 有 影响 力 的 公 钥 加 密 算法 , 它 能 够 抵抗 到 目前 为 止 已 知 的 绝 大 多 数 密码 
攻击 ,已 被 ISO 推荐 为 公 钥 数 据 加 密 标准 。 

设 (E,，D,) 为 一 对 称 密码 算法 ,K 是 其 密 钥 空间 ,函数 G() 用 于 产生 RSA 算法 的 密 钥 
对 , 即 公 钥 pk 一 (2,e) 和 一 (n,d)。Z, 二 {10,1,…,n 一 1) 为 一 整数 集合 ,Z; 为 Z, 中 所 有 
与 n 互 素 的 数 , 即 Z; = 二 {xzEZ:gcd(z,n) 二 1}。 晶 为 喻 希 函 数 ( 详 见 5.4), 是 一 个 单 向 函 
数 H: Z, 一 K。 

给 定 消息 mw, 对 其 进行 加 密 和 解密 的 过 程 分 别 如 下 : 

加 密 过 程 : 

(1) 从 Z; 中 随机 选取 一 个 数 工 ; 

(2) 用 RSA 加 密 算法 对 xz 加 密 : y= 二 RSA(zx)==x* mod n; 

(3) 把 z 代 入 哈 希 算法 计算 出 &,k 二 H(z), 作 为 对 称 密码 算法 的 密 钥 ; 

(4) 用 和 EE, 对 消息 mm 进行 加 密 : c= E(k,m); 

(5) 输出 密 文 (y|1c)。 

以 上 加 密 过 程 有 两 个 优点 。 其 一 ,由 于 每 次 加 密 一 个 消息 ,zx 都 是 随机 选取 的 ,这 使 得 
加 密 后 所 得 的 y 和 < 也 是 具有 随机 性 的 ,因此 同一 个 消息 加 密 两 侧 , 所 得 的 密 文 在 很 高 的 概 
率 上 是 不 同 的 。 其 二 , 仅 用 公 钥 算法 来 加 密 &, 而 用 对 称 密码 算法 来 加 密 数 据 , 保 证 了 加 密 
过 程 的 高 效 性 。 

解密 过 程 : 

(1) 从 密 文 中 提取 y, 代 入 公 钥 解密 算法 ,得 到 一 RSA- (y) 一 y mod n; 
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(2) 把 z 代 入 喻 希 算法 计算 出 &,k 二 H(z); 

(3) 从 密 文中 提取 c, 并 用 & 和 DD, 解密 ,得 到 消息 m: m 二 D,(k, c)。 

由 解密 过 程 可 以 看 出 ,攻击 者 要 想 破 解密 文 ,必须 找到 密 钥 ,而 要 想 获得 , 则 必须 解 
密 y 以 得 到 z, 即 必须 解决 RSA 算法 的 大 数 分 解 问题 。 因 此 这 一 工作 机 制 是 足够 安全 的 。 


462 PKCSH1 


公 钥 密码 标准 (Public-Key Cryptography Standards,PKCS) 是 由 美国 RSA 数据 安全 公 
司 及 其 合作 伙伴 制定 的 一 组 公 钥 密码 学 标准 ,其 中 包括 证 书 申请 、 证 书 更 新 .证 书 作废 表 发 
布 .扩展 证 书 内 容 以 及 数字 签名 .数字 信封 的 格式 等 方面 的 一 系列 相关 协议 。 

在 PKCS 系列 标准 中 ,PKCS#1 对 RSA 公 钥 加 密 标准 进行 了 定义 。 

首先 ,加 密 系 统 随机 产生 一 个 用 于 对 称 加 密 算法 的 密 钥 ,例如 AES 的 密 钥 ,长 度 为 
128bit。 然 后 将 其 扩展 为 RSA 的 模 长 ,例如 2048bit, 再 用 RSA 算法 对 进行 加 密 , 产 生 密 
钥 的 密 文 ,如 图 4-5 所 示 。 





扩展 RSA 
对 称 密 钥 k ~ RSA 模 长 一 | 窗外 
































4-5 用 RSA 加 密 对 称 密 钥 


在 PKCS#1 的 1.5 版 本 模式 2( 模 式 2 表示 加 密 , 模 式 1 表示 签名 ) 中 ,对 扩展 的 过 程 
进行 了 详细 的 定义 ,如 图 4-6 所 示 。 例 如 拟 加 密 一 个 AES 的 密 钥 ,把 放 在 即将 产生 的 消 
息 的 最 低位 ,之 后 在 其 前 面 加 上 16bit 的 “1”, 即 FF, 然 后 在 前 面 加 一 个 随机 数 (不 可 包含 
“FF”)。 最 后 在 前 面 加 上 “02”, 表 示 模 式 2。 消 息 的 总 长 度 为 RSA 的 模 长 。 
16bit 

02 随机 数 FF 对 称 密 钥 k 























RSA 模 长 


4-6 ”对 称 密 钥 的 扩展 


在 加 密 信息 时 ,用 密 钥 & 和 对 称 加 密 对 要 传输 的 数据 进行 加 密 ,产生 数据 的 密 文 , 最 后 
将 密 钥 的 密 文 和 数据 的 密 文 一 同 发 往 接收 端 。 

在 解密 后 ,首先 检查 原文 的 最 前 面 是 否 为 “02”, 如 果 是 , 则 去 掉 随 机 项 和 *FF”, 得 到 对 
称 密 钥 &。 

显然 ,由 于 每 次 加 密 时 用 到 的 密 钥 & 都 是 随机 产生 的 ,因此 这 一 公 钥 密码 工作 机 制 具 有 
良好 的 随机 性 ,得 以 广泛 应 用 ,例如 HTTPS。 

PKCS# 1 的 1.5 版 本 是 在 二 十 世纪 80 年 代 设 计 的 ,其 安全 性 并 没有 得 到 严谨 的 证 明 。 
因此 PKCS#1 的 2.0 版 本 对 基于 RSA 的 公 钥 加 密 方式 进行 了 重新 的 定义 ,基于 Mihir 
Bellare 和 Phillip Rogaway 提出 的 “优化 的 非 对 称 加 密 填 充 机 制 ”(Optimal Asymmetric 
Encryption Padding scheme,OAEP) .制定 了 增强 型 的 加 密 / 解 密 机 制 , 详 见 RFC3447 文档 。 


第 5 章 消息 认证 


回顾 第 1 章 所 提 到 的 信息 安全 的 目标 ,包括 机 密 性 完整 性 ` 可 用 性 和 抗 否认 性 。 其 中 ， 
机 密 性 可 以 通过 加 密 保证 ,可 用 性 通过 提高 系统 性 能 和 各 种 安全 技术 及 应 用 保证 。 而 完整 
性 和 不 可 否认 性 则 要 靠 消息 认证 和 数字 签名 完成 。 


51 消息 认证 基本 概念 


认证 (authentication), 即 鉴别 .确认 ,是 证 实 某 事 是 否 名 副 其 实 或 是 否 有 效 的 一 个 
过 程 。 

认证 与 加 密 的 区 别 在 于 两 者 有 不 同 的 目标 。 加 密 用 以 确保 数据 的 机 密 性 ,阻止 对 手 的 
被 动 攻 击 , 如 截取 、 窃 听 , 这 种 被 动 攻击 只 是 获取 和 破译 数据 ,并 不 对 传输 中 的 数据 进行 算 
改 。 而 认证 用 以 确保 报 文 发 送 者 和 接收 者 的 真实 性 以 及 完整 性 ,阻止 对 手 的 主动 攻击 ,如 时 
充 、 算 改 、 重 播 等 。 认 证 往往 是 应 用 系统 中 安全 保护 的 第 一 道 防线 ,极为 重要 。 

认证 的 基本 思想 是 通过 验证 称谓 者 (人 或 事 ) 的 一 个 或 多 个 参数 的 真实 性 和 有 效 性 ,来 
达到 验证 称谓 者 是 否 名 副 其 实 的 目的 。 常 用 的 参数 有 密码 ,标识 符 、 密 钥 、 信 物 、 智 能 卡 、 指 
纹 、 视 网 纹 等 。 其 中 ,利用 人 的 生理 特征 参数 进行 认证 的 安全 性 高 ,但 技术 要 求 也 高 ,至今 尚 
未 普及 ,所 以 目前 广泛 应 用 的 还 是 基于 密码 的 认证 技术 。 

消息 认证 (message authentication) 是 一 个 证 实 收 到 的 消息 来 自 可 信 的 源 点 且 未 被 筑 改 
的 过 程 。 有 时 也 被 称 为 “消息 鉴别 ”。 

一 个 没有 消息 认证 的 通信 系统 是 极为 危险 的 ,如 图 5-1 所 示 。 


消息 M 


用 户 A 用 户 B 

















自 改 、 伪造 、 重 放 、 冒 充 


恶意 者 C 
图 5-1 通信 系统 受到 主动 攻击 
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当 合法 用 户 A 和 B 在 传递 消息 M 时 ,通信 和 链 路 的 另外 一 端的 恶意 者 C, 可 以 对 消息 M 
进行 自 改 后 再 发 送 给 B, 也 可 能 伪造 一 条 消息 发 送 给 B, 或 者 是 把 消息 M 保存 下 来 ,在 某 个 
特定 的 时 间 再 发 送 给 用 户 B, 这 种 攻击 形式 称 为 消息 的 延迟 ; 在 以 后 的 时 段 中 多 次 将 消息 
M 发 送 给 B, 这 种 攻击 形式 称 为 消息 的 重 放 。 

所 以 认证 的 目的 是 验证 信息 的 完整 性 ,在 传送 或 存储 过 程 中 未 被 算 改 .冒充 、 重 放 或 延 
迟 等 。 

认证 符 是 一 个 用 来 认证 消息 的 值 。 由 消息 的 发 送 方 产生 认证 符 , 并 传递 给 接收 方 。 接 
收 方 则 根据 这 个 认证 符 来 对 收 到 的 消息 以 及 来 源 方 的 身份 进行 鉴别 。 

通常 ,认证 系统 由 两 部 分 组 成 ,分 别 是 认证 编码 器 和 认证 译 码 器 ,可 抽象 为 认证 函数 。 
认证 函数 也 就 是 产生 认证 符 的 函数 。 认 证 函数 实际 上 代表 了 一 种 产生 认证 符 的 方法 。 作 为 
一 个 安全 的 认证 系统 , 需 满足 接收 者 能 够 检验 和 证 实 消息 的 合法 性 、 真 实 性 和 完整 性 ,另外 
除了 合法 的 消息 发 送 者 ,其 他 人 不 能 伪造 合法 的 消息 。 

对 于 一 个 消息 认证 系统 而 言 ,其 关键 在 于 如 何 根据 需要 传输 的 消息 来 产生 能 够 对 该 消 
息 进 行 鉴别 的 认证 符 , 即 认证 函数 如 何 选 择 。 通 常 ,认证 函数 可 分 为 如 下 三 类 : 

(1) 消息 加 密 函 数 (message encryption): 用 完整 信息 的 密 文 作为 对 信息 鉴别 的 认 
证 符 。 

(2) 消息 认证 码 (message authentication code, MAC): 消息 认证 码 是 消息 和 密 钥 的 公 
开 函 数 , 它 产生 定 长 的 值 ,以 该 值 作为 认证 符 。 

(3) 散 列 函 数 (hash function) : 是 一 个 公开 的 函数 ,将 任意 长 的 信息 映射 成 一 个 固定 长 
度 的 信息 。 

本 章 对 这 三 类 认证 方法 进行 详细 阐述 。 





52 消息 加 密 认证 
对 消息 的 自身 加 密 所 得 到 的 密 文 ,可 以 作为 一 个 认证 的 度量 。 其 中 ,对 称 加 密 模 式 和 公 
钥 加 密 模式 有 所 不 同 。 
1. 对 称 密码 体制 下 的 加 密 认证 
在 对 称 密码 体制 下 .发 送 者 A 和 接收 者 B 双方 共同 拥有 密 钥 ,A 把 加 密 过 的 信息 传送 


给 B, 如 图 5-2 所 示 。 
+9- 由 -9 


A 天 Ex(M) 天 B 


图 5-2 对 称 密码 体制 下 的 加 密 认证 























由 于 攻击 者 不 知道 密 钥 ,他 也 就 不 知道 如 何 改变 密 文中 的 信息 位 才能 在 明文 中 产生 
预期 的 改变 。 
接收 方 B 只 要 能 顺利 解 出 明文 ,就 知道 信息 在 中 途 没有 被 人 更 改过 。 他 根据 解密 后 的 
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明文 是 否 具有 合理 的 语法 结构 来 进行 消息 认证 。 

但 在 这 个 方法 中 存在 的 问题 是 ,如 果 发 送 的 消息 M 本 身 并 没有 明显 的 语法 结构 或 特 
征 ,如 二 进 制 文件 ,那么 接收 方 很 难 确 定 解密 后 的 消息 就 是 明文 本 身 。 

为 了 解决 这 个 问题 ,要 求 明 文具 有 某 种 易于 识别 的 结构 ,并且 不 通过 加 密 函 数 是 无 法 重 
复 这 个 结构 的 。 

例如 ,在 加 密 前 对 消息 附加 一 个 错误 检测 码 , 根 据 明 文 消息 M 和 公开 的 函数 下 产生 
FCS, 即 错误 检测 码 ,或 称 帧 校 验 序列 、 校 验 和 。 然 后 ,把 M 和 FCS 合 在 一 起 加 密 , 并 传输 。 
接收 端 收 到 密 文 后 把 密 文 解密 ,得 到 M。 最 后 进行 认证 ,接收 者 根据 得 到 的 M, 按 照 下 计算 
FCS ,并 与 接收 到 的 FCS 比较 是 否 相 等 ,如 图 5-3 所 示 。 


好 " wal > 四 人 和 
天 天 


Ex[MIF(OMN] 
图 5-3 ”内 部 错误 控制 





























如 果 攻 击 者 修改 了 密 文 , 则 接收 者 计算 的 FCS 与 其 收 到 的 FCS 将 无 法 匹配 。 
这 里 ,加 密 函 数 和 下 函数 的 执行 顺序 是 非常 重要 的 。 与 图 5-3 相对 应 的 还 有 外 部 错误 
控制 , 即 先 加 密 , 再 计算 FCS, 如 图 5-4 所 示 。 


K 








@ FEKAM)) 
图 5-4 ”外 部 错误 控制 








在 外 部 错误 控制 中 ,由 于 函数 下 是 公开 的 ,攻击 者 可 以 构造 具有 正确 错误 控制 码 的 消 
息 , 虽 然 攻 击 者 不 知道 解密 后 的 明文 ,但 可 以 造成 混淆 并 破坏 通信 。 


2. 公 钥 密码 体制 下 的 加 密 认证 


4.3.2 节 介 绍 了 公 钥 密码 体制 下 的 三 种 应 用 , 即 保证 机 密 性 、 保 证 真实 性 和 既 保证 机 密 
性 又 保证 真实 性 。 

(1) 在 保证 机 密 性 ( 见 图 4-2) 的 应 用 方式 中 ,发 送 端 A 用 B 的 公 钥 对 消息 加 密 , 然 后 传 
输 给 接收 端 B。B 用 自己 的 私 钥 解 密 。 显 然 这 种 方式 只 能 对 数据 加 密 , 而 不 能 用 于 认证 , 因 
为 B 的 公 钥 是 公开 的 ,任何 人 都 可 以 向 B 发 送 消息 ,所 以 B 无 从 确认 消息 的 来 源 和 内 容 的 
真实 性 。 

(2) 保证 真实 性 ( 见 图 4-3) 的 应 用 方式 则 可 以 用 于 消息 认证 。 因 为 在 发 送 消 息 时 用 发 
送 者 的 私 钥 进行 了 加 密 。 这 就 使 得 如 果 接 收 方 能 够 用 发 送 方 的 公 钥 解密 , 则 说 明 该 消息 的 
确 是 由 发 送 方 发 送 的 , 且 消 息 内 容 没 有 被 算 改 。 当 然 , 这 种 方式 不 保证 机 密 性 。 因 为 任何 人 
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都 可 以 拥有 发 送 方 的 公 钥 。 

(3) 既 保证 机 密 性 又 保证 真实 性 ( 见 图 4-4) , 则 既 保证 了 消息 的 机 密 性 ,也 可 以 进行 消 
息 的 认证 。 但 一 次 通信 中 要 执行 4 次 复杂 的 公 钥 算法 ,其 计算 代价 是 非常 高 的 。 

所 以 ,第 (2) 和 (3) 两 种 方法 一 般 在 认证 时 极 少 应 用 ,因为 前 面 讲 过 , 公 钥 密码 体制 加 密 
的 速度 非常 慢 , 当 信息 内 容 很 多 的 时 候 , 这 样 的 加 密 更 加 困难 ,要 耗费 大 量 的 时 间 和 资源 ,所 
以 一 般 人 们 是 利用 公 钥 对 信息 的 Hash 码 进行 加 密 , 具 体内 容 在 介绍 数字 签名 时 会 提 到 。 


53 消息 认证 码 
531 消息 认证 码 的 基本 用 法 
消息 认证 码 是 一 种 认证 技术 。 它 把 一 个 密 钥 和 需要 认证 的 消息 一 起 代入 一 个 函数 , 计 


算出 一 个 固定 长 度 的 短 数 据 块 , 称 为 MAC (message authentication code) ,或 密码 校 验 和 
(cryptographic checksum), 并 把 MAC 附加 在 消息 
























后 ,一 起 发 送 给 接收 方 ,如 图 5-5 所 示 。 A EM 
MAC=CCM,K) ,这 里 M 是 需 认 证 的 消息 ; C 是 CM HGMAC/ 
MAC 函数 ; K 是 通信 双方 共享 的 密 钥 ; MAC 是 消息 


认证 码 。 图 5-5 MAC 的 生成 


接收 方 收 到 消息 后 ,只 需要 根据 密 钥 、 收 到 的 消息 以 及 MAC 函数 重新 计算 MAC ,并 检 
查 是 否 等 于 传 过 来 的 MAC。 如 果 两 者 相等 ,接收 者 可 以 确信 消息 M 未 被 臭 改 ,因为 如 果 攻 
击 者 改变 了 消息 ,由 于 不 知道 ,无 法 生成 正确 的 MAC; 另外 ,接收 者 也 可 以 确信 消息 来 自 
所 声称 的 发 送 者 ,因为 其 他 人 不 能 生成 和 原始 消息 相对 应 的 MAC。 认 证 的 过 程 如 图 5-6 
所 示 。 














M 

















天 
图 5-6 消息 认证 码 的 基本 用 法 


MAC 函数 与 加 密 函 数 类 似 ,都 需要 明文 、 密 钥 和 算法 的 参与 。 但 MAC 算法 不 要 求 可 
道 性 ,而 加 密 算 法 必须 是 可 逆 的 。 

例如 ,使 用 100 位 的 消息 和 10 位 的 MAC ,那么 总 共有 222 个 不 同 的 消息 ,但 仅 有 22 个 
不 同 的 MAC。 也 就 是 说 ,平均 每 2” 个 消息 使 用 的 MAC 是 相同 的 。 

因此 ,认证 函数 比 加 密 函 数 更 不 易 被 攻破 ,因为 即便 攻破 也 无 法 验证 其 正确 性 。 关 键 就 
在 于 加 密 函 数 的 明文 和 密 文 是 一 对 一 的 ,而 认证 函数 的 消息 和 MAC 则 是 多 对 一 的 。 

另外 ,消息 本 身 并 没有 经 过 加 密 只 提供 认证 ,不 提供 机 密 性 。 如 果 需 要 机 密 性 ,可 以 利 
用 对 称 加 密 体制 或 者 公 钥 密码 加 密 体制 对 消息 进行 加 密 。 
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如 图 5-7 所 示 , 先 根 据 明 文 消 息 、 密 钥 K! 和 MAC 函数 C 计算 消息 的 MAC, 然 后 把 
MAC 和 消息 M 连接 在 一 起 ,再 用 密 钥 K, 和 加 密 算法 EE 进行 加 密 ,然后 发 送 到 接收 方 。 接 
收 方 先 用 密 钥 K, 和 解密 算法 D 对 密 文 进行 解密 ,得 到 消息 M 和 MAC, 最 后 根据 收 到 的 
M.、 密 钥 K; 和 MAC 函数 C 计算 MAC, 和 收 到 的 MAC 进行 比较 ,从 而 对 消息 进行 认证 。 


VY C 
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图 5-7 与 明文 有 关 的 认证 


图 5-7 中 的 消息 认证 方式 称 为 与 明文 有 关 的 认证 , 即 先 计算 MAC, 再 对 M 和 MAC 一 
起 加 密 , 加 密 的 对 象 是 明文 。 其 中 ,通信 双方 共享 K! 和 K;, Ki 用 于 生成 MAC,K; 用 于 
加 密 。 

如 果 先 对 明文 M 加 密 , 然 后 对 得 到 的 密 文 计算 MAC, 即 对 密 文 计算 MAC, 则 称 为 与 密 
文 有 关 的 认证 ,如 图 5-8 所 示 。 



































Cri[Er,(M)] 


5-8 与 密 文 有 关 的 认证 


那么 为 什么 要 专门 找 MAC 函数 提供 认证 ,而 不 直接 使 用 前 面 所 说 的 加 密 方法 来 提供 
认证 呢 , 主 要 有 以 下 几 个 原因 : 

(1) 信息 加 密 提供 的 是 机 密 性 而 非 真实 性 。 

(2) 加 密 计算 的 代价 大 ,特别 是 当 信息 内 容 比较 长 的 时 间 , 加 密 所 占用 的 资源 太 多 ,如 
果 是 公 钥 密码 体制 , 则 代价 更 大 。 

(3) 认证 函数 与 加 密 函 数 的 分 离 能 提供 功能 上 的 灵活 性 ,因为 有 些 情况 下 ,只 需要 提供 
机 密 性 ,而 不 需要 提供 真实 性 ; 而 另 一 些 情况 下 , 某 些 信 息 只 需要 真实 性 ,不 需要 机 密 性 。 
例如 ,广播 ,由 于 其 信息 量 大 ,难以 使 用 加 密 的 手段 ; 又 如 政府 或 权威 部 门 的 公告 ,只 需要 保 
证 真实 性 ,而 不 需要 机 密 性 。 


532 消息 认证 码 的 安全 性 


对 消息 认证 码 进行 攻击 主要 有 两 种 方法 。 其 一 是 攻击 密 钥 , 试 图 找到 计算 MAC 的 密 
钥 ; 其 二 是 攻击 MAC 函数 的 算法 ,找到 其 弱点 。 
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1. 攻击 密 钥 


已 知 消息 M 和 MAC 算法 C, 以 及 MAC, 二 Cs (M1), 现 要 用 穷 举 法 破解 &。 密 钥 长 
度 为 位 ,MAC 的 长 度 为 n 位。 

当 k&>>n 时 ,可 能 的 密 钥 个 数 为 2 ,可 能 的 MAC 个 数 为 2" 个 。 所 以 许多 不 同 的 密 钥 
( 约 2 个 ) ,计算 出 来 的 MAC 都 等 于 MAC,。 这 些 密 钥 中 哪 一 个 是 正确 的 密 钥 不 得 而 知 。 
这 时 需要 新 的 M-MAC 对 来 测试 这 2 "个 密 钥 ,于 是 有 如 下 的 重复 攻击 

(1) 给 定 M 和 MAC 一 Cu CM ) ,对 所 有 2 个 密 钥 ,判断 MAC; 二 Ci CM ) ,匹配 数 约 
为 2 "。 

(2) 给 定 M 和 MAC: 王 Cu (M: ) ,对 所 有 2 “个 密 钥 ,判断 MAC; 二 Ci CM: ) ,匹配 数 约 
为 2p-2。 

平均 来 讲 , 若 人 一 zX2m, 则 需 工 次 循环 才能 找到 正确 的 密 钥 。 所 以 ,用 穷 举 法 攻破 MAC 
比 攻破 加 密 算法 要 困难 得 多 。 

如 果 密 钥 长 度 小 于 或 等 于 MAC 的 长 度 , 则 很 可 能 在 (1) 中 就 得 到 一 个 密 钥 。 


2. 攻击 算法 


有 时 候 攻击 者 可 以 利用 消息 认证 函数 的 缺陷 来 实现 成 功 的 攻击 。 

分 析 下 面 的 消息 认证 算法 : 

消息 M== (Xi eX 上 … | X,) 是 由 64 位 长 的 分 组 X; (i 二 1,…,m) 链 接 而 成 ,MAC 算 
法 是 

AMD=XDXD"…DX, 
Cx M) = ErkLA(M)] 

加 密 算 法 EF 是 DES。 因此, 密 钥 长 度 为 56 位 。 如 果 敌 手 得 到 M | Ck (MD) ,那么 敌手 使 
用 穷 举 搜索 攻击 寻找 K 将 需 做 至 少 2* 次 运算 ,这 是 非常 困难 的 。 但 攻击 者 可 以 改变 M 的 
内 容 , 却 得 到 正确 的 MAC 值 ,方法 如 下 : 

用 YY 替换 Xi,Y， 替换 Xi ,…,Yw 替换 XX, ,其 中 Yi ,Y，,…,Y。 是 攻击 者 编造 的 假 消 
息 。 且 Y= 二 Y1BY:®O…OY,-1DBA(M). 

攻击 者 按 上 述 方法 将 消息 算 改 之 后 发 送 给 接收 者 。 

当 接 收 者 收 到 这 个 消息 M 一 ( Ys … | Y,,) ,他 采用 相同 的 方法 计算 MAC 值 ,并 
与 收 到 的 MAC 值 相对 照 

A(M) = YBY,®B:…BY, = AM 

所 以 ,Ck (MD 二 Cr (M ) ,通过 了 验证 ,攻击 得 逮 。 

因此 ,为 了 避免 消息 认证 码 受到 上 面 的 攻击 方式 ,消息 认证 码 必须 满足 下 列 基 本 要 求 ， 

(1) 若 攻 击 者 已 知 M 和 Cx (CM) , 则 他 构造 M' 并 使 其 满足 CkCM) = 二 Ck (M ) 在 计算 上 
不 可 行 。 

(2) Ck CM) 应 是 均匀 分 布 的 , 即 对 于 随机 消息 M 和 M,Cxk (M) 二 Cx (M ) 的 概率 是 
2 一 ,其 路 是 MAC 的 位 数 。 

(3) 若 M 是 M 的 某 个 变换 , 即 M = FCM) ,如 太 为 插入 一 个 或 多 个 比特 ,那么 
EEC 三 Cu 三 2 ， 

第 一 个 要 求 是 针对 上 例 中 的 攻击 类 型 的 ,此 要 求 是 说 敌手 不 需要 找 出 密 钥 K 而 伪造 一 
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个 与 截获 的 MAC 相 匹配 的 新 消息 在 计算 上 是 不 可 行 的 。 第 二 个 要 求 是 说 敌手 如 果 截 获 一 
个 MAC, 则 伪造 一 个 相 匹配 的 消息 的 概率 为 最 小 。 最 后 一 个 要 求 是 说 函数 C 不 应 在 消息 
的 某 个 部 分 或 某 些 比特 弱 于 其 他 部 分 或 其 他 比特 ,和 否则 敌手 获得 M 和 MAC 后 就 有 可 能 修 
改 M 中 弱 的 部 分 ,从 而 伪造 出 一 个 与 原 MAC 相 匹 配 的 新 消息 。 


533 基于 DES 的 消息 认证 码 


数据 认证 算法 是 一 个 最 为 广泛 使 用 的 消息 认证 码 ,已 作为 FIPS Publication(FIPS PUB 
113) ,并 被 ANSI 作为 X9. 17 标准 。 
算法 基于 密 文 块 链接 (CBC) 模 式 的 DES 算法 ,其 初始 向 量 取 为 零 向 量 。 计 算数 据 认 证 
码 DAC 的 过 程 如 下 : 
将 需 被 认证 的 数据 (消息 、 记 录 ,文件 或 程序 ) 分 为 64 位 长 的 分 组 Di ,D;,…,Dw, 其 中 
最 后 一 个 分 组 不 够 64 位 的 话 , 可 在 其 右边 填充 一 些 0, 然 后 按 以 下 过 程 ,利用 DES 加 密 算法 
EE 和 密 钥 开 计算 数据 认证 码 DAC( 如 图 5-9 所 示 ) 。 
其 中 : 
OO = Ex (Di) 
0; = Ex (D; ® O01) 
0; = Ex (D; ® 0;,) 
On = Ex (Dy ©® On1) 
数据 认证 码 可 以 取 整 个 Ov 块 ,或 取 为 On 的 最 左 M 个 位 ,其 中 16<M<64。 
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图 5-9 数据 认证 算法 


54 Hash 函数 


541 基本 概念 


散 列 (Hash) 函数 ,又 称 为 哈 希 函数 或 杂凑 函数 ,是 对 不 定 长 的 输入 产生 定 长 输出 的 一 
种 特殊 函数 ,可 以 表达 为 h 二 有 HCOMD ,这 里 的 M 为 消息 ,其 长 度 不 定 ,h 被 称 为 散 列 值 .Hash 
值 . 散 列 码 或 哈 希 值 ,长 度 一 定 , 一 般 为 128 位 或 160 位 ,如 图 5-10 所 示 。 
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HO __| 散 列 值 x， 一 般 为 
消息 MM 128 或 160 位 
不 定 长 




















5-10 ”了 哈 希 函数 


假定 两 次 输入 同样 的 数据 ,那么 散 列 函数 应 该 能 够 生成 相同 的 散 列 值 。 输 入 数据 中 的 
一 位 发 生 了 变化 ,会 导致 生成 的 散 列 值 完全 不 一 样 。 

散 列 函数 有 个 非常 重要 的 特性 为 单 向 性 ,也 就 是 从 M 计算 hh 容易 ,而 从 hh 计算 M 不 可 
能 。 似 乎 有 点 类 似 于 非 对 称 加 密 算 法 ,但 其 根本 区 别 就 在 于 散 列 函数 是 没有 密 钥 的 。 因 为 
它 根 本 不 需要 从 hh 推导 出 M。 

用 户 A 和 B 通 信 , 为 了 保证 信息 在 传送 过 程 中 没有 被 修改 , 则 A 把 自己 的 消息 通过 散 
列 函 数 生成 Hash 值 ,附着 在 消息 后 ,接收 方 收 到 消息 后 ,重新 计算 Hash 值 , 如 果 相 同 , 则 表 
示 在 传送 过 程 中 消息 未 被 自 改 ,反之 则 表明 消息 被 算 改 ,如 图 5-11 所 示 。 





















































用 户 A 也 用 户 B 
h 
消息 M 说 W7 | 重新 计 算 / 
lua | 
散 列 值 h pr [ra 
比较 是 否 相同 





5-11 散 列 函数 的 用 法 


实际 上 ,由 于 散 列 函 数 没 有 密 钥 ,并 且 本 身 属于 公开 函数 ,如 果 恶 意 第 三 方 在 修改 明文 
M 的 同时 ,重新 计算 了 散 列 值 , 则 接收 方 无 法 发 现 消息 被 修改 过 ,无 法 达到 认证 的 效果 。 所 
以 在 实际 使 用 过 程 中 ,发 送 方 会 用 某 种 加 密 方法 对 Hash 值 进行 加 密 , 然 后 附着 在 消息 后 进 
行 传递 。 接 收 方 首先 计算 Hash 值 .然后 把 附加 在 消息 后 的 Hash 值 解密 ,两 者 相同 则 表示 
认证 成 功 。 

由 于 Hash 值 位 数 很 少 ,一 般 只 有 128 或 160 位 ,所 以 加 密 和 解密 不 会 为 通信 系统 带 来 
太 大 负担 。 

散 列 函数 的 目的 是 为 文件 、 消 息 或 者 其 他 的 分 组 数据 产生 * 指 纹 ”, 为 了 防止 第 三 方 伪造 
Hash 值 或 者 通过 Hash 值 计 算出 明文 , 散 列 函数 电 必须 满足 以 下 几 个 性 质 ， 

(1) 互 对 于 任何 大 小 的 数据 分 组 ,都 能 产生 定 长 的 输出 。 要 求 散 列 函数 能 够 适合 于 各 
种 消息 和 文件 ,用 途 广 泛 。 

(2) 对 于 任何 给 定 的 M,H(M) 要 相对 易于 计算 。 保 证 了 散 列 函数 不 会 给 系统 增加 太 
多 负担 。 

(3) 对 于 任何 给 定 的 Hash 值 4, 计 算出 M 在 计算 上 不 可 行 。 防 止 第 三 方 通过 散 列 值 
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计算 出 明文 M, 也 就 是 单 向 性 , 即 构造 相应 的 M= 五 (ji 不 可 行 。 这 样 , 散 列 值 就 能 在 统 
计 上 唯一 地 表征 输入 值 。 

(4) 对 任何 给 定 的 Mi ,寻找 M ,使 HCMi)==H(M,) 在 计算 上 不 可 行 。 防 止 第 三 方 
伪造 Hash 值 ,无 法 在 不 修改 Hash 值 的 情况 下 修改 消息 而 不 被 察觉 。 这 个 称 为 抗 碰 
撞 性 。 

所 谓 抗 碰撞 性 (collision resistant) , 即 在 统计 上 无 法 产生 两 个 Hash 值 相同 的 预 映射 。 
给 定 M, 计 算 上 无 法 找到 M ,满足 HH(M) 二 HOM ) ,此 谓 弱 无 碰撞 性 。 

(5) 寻找 任何 的 (Mi ,Mi), 使 有 H(M') 二 HH(M) 在 计算 上 不 可 行 。 此 谓 强 无 磁 撞 性 。 要 
求 “ 强 无 碰撞 性 ”主要 是 为 了 防范 所 谓 “ 生 日 攻击 ”(birthday attack) ,有关 生日 攻击 ,将 在 后 
文 详细 介绍 。 

注意 : (4) 和 (5) 的 区 别 在 于 在 (4) 中 给 定 了 M, 而 在 (5) 中 没有 这 个 限制 。 

另外 和 密码 算法 的 要 求 一 样 ,映射 分 布 均匀 性 和 差分 分 布 均匀 性 ,Hash 值 中 为 0 的 位 
和 为 1 的 位 ,其 总 数 应 该 大 致 相等 ; 输入 中 一 位 的 变化 ,Hash 值 中 将 有 一 半 以 上 的 位 改变 ， 
即 “ 雪 崩 效 应 ”; 要 实现 使 Hash 值 中 出 现 一 位 的 变化 , 则 输入 中 至 少 有 一 半 以 上 的 位 必须 
发 生变 化 。 其 实质 是 必须 使 输入 中 每 一 位 的 信息 ,尽量 均匀 的 反映 到 输出 的 每 一 位 上 去 ; 
输出 中 的 每 一 位 ,都 是 输入 中 尽 可 能 多 比特 的 信息 一 起 作用 的 结果 。 


542 认证 方法 


Hash 值 不 同 的 使 用 方式 可 以 提供 不 同 要 求 的 消息 认证 。 下 面 列举 了 几 种 不 同 应 用 的 
认证 方法 。 

(1) 使 用 对 称 密码 体制 仅 对 附加 的 散 列 值 进行 加 密 , 仅 提供 认证 功能 ,如 图 5-12 
所 示 。 
(2) 使 用 对 称 密码 体制 对 附加 了 散 列 值 的 消息 进行 加 密 。 能 够 提供 认证 和 机 密 性 ,如 


图 5-13 所 示 。 
息 M | 消息 M 
AZ 散 列 值 


图 5-12 对 称 密码 体制 下 的 认证 图 5-13 对称 密 码 体制 下 的 认证 和 加 密 


(3) 使 用 公 钥 密码 体制 ,但 发 送 方 的 私有 密 钥 仅 对 散 列 值 进行 加 密 。 能 够 提供 认证 和 
数字 签名 ,如 图 5-14 所 示 。 








消息 M 

















散 列 值 h 














消息 M 消息 MY 


散 询 入 EC 


5-14” 公 和 钥 密码 体制 下 的 认证 和 签名 














还 有 其 他 的 应 用 方法 ,如 对 签名 后 的 消息 再 加 密 等 ,以 保证 消息 的 机 密 性 。 
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散 列 函数 设计 成 可 以 生成 足够 小 的 散 列 值 以 便 管理 。 例 如 , MD5(RFC 1321) 和 SHA-1 
(FIPS PUB 180-1) 这 样 的 散 列 算法 是 当前 最 常用 的 算法 。 


543 常用 Hash 算 法 
目前 常用 的 Hash 算法 一 般 都 采用 迭代 型 结构 ,这 种 结构 的 Hash 函数 已 被 证 明 是 合理 


的 ,如 果 采 用 其 他 结构 ,不 一 定安 全 。 在 设计 新 的 Hash 函数 时 ,也 往往 只 是 改进 这 种 结构 ， 
或 者 增加 Hash 码 长 。 和 迭代 型 Hash 函数 的 一 般 结构 如 图 5-15 所 示 。 


ear /oe )- = 
n n n n n 


IV=CWo (a CV 


图 5-15 Hash 算法 的 迭代 型 结构 

















其 中 ,明文 M 被 分 为 上 个 分 组 Yu ，…Yr-i'2 为 明文 分 组 长 度 ,n 为 输出 Hash 值 的 
长 度 ,CV; 是 各 级 输出 ,最 后 一 个 输出 值 即 是 Hash 值 。 

算法 的 核心 技术 是 设计 无 碰撞 的 压缩 函数 ,而 敌手 对 算法 的 攻击 重点 是 f 的 内 部 结 
构 , 由 于 f 和 分 组 密码 一 样 是 由 若干 轮 处 理 过 程 组 成 ,所 以 对 f 的 攻击 需 通过 对 各 轮 之 间 
的 位 模式 的 分 析 进 行 ,分 析 过 程 常常 需要 先 找 出 f 的 碰撞 。 由 于 了 是 压缩 函数 ,其 碰撞 是 
不 可 避免 的 ,因此 在 设计 了 时 就 应 保证 找 出 其 碰撞 在 计算 上 是 不 可 行 的 。 

下 面 介绍 的 几 种 Hash 算法 都 采用 了 这 种 迭代 型 结构 。 





1. MD5 算法 


消息 -摘要 算法 (message-digest algorithm 5,MD5) ,在 20 世纪 90 年 代 初 由 美国 麻 省 理 
工学 院 计 算 机 科学 实验 室 和 RSA 数据 安全 公司 的 Ronald L，Rivest 开发 出 来 ,经 MD2、 
MD3 和 MD4 发 展 而 来 。 

利用 MD5 Hash 算法 产生 消息 摘要 时 ,输入 的 消息 可 任意 长 ,对 输入 按 512 位 的 分 组 
为 单位 进行 处 理 , 处 理 后 输出 为 128 位 的 Hash 值 ,其 处 理 过 程 如 图 5-16 所 示 。 

该 处 理 过 程 包含 了 如 下 几 个 步骤 : 

1) 消息 填充 

首先 填充 消息 ,使 其 长 度 比 512 的 整数 倍 少 64 位 。 注 意 , 即 使 消息 本 身 已 经 满足 上 述 
长 度 要求 ,仍然 需要 进行 填充 。 例 如 , 若 消息 长 度 为 448 位 , 则 仍 需 填充 512 位 使 其 长 度 为 
960 位 。 填 充 的 内 容 由 一 个 1 和 后 续 的 0 组 成 。 然 后 ,在 填充 内 容 的 后 面 再 附 上 64 位 ,这 
64 位 存放 的 内 容 是 填充 前 消息 的 长 度 。 如 果 消 息 长 度 大 于 2# , 则 取 其 对 2% 的 模 。 

执行 这 一 步骤 后 ,消息 的 长 度 为 512 的 倍数 ( 设 为 工 倍 ), 则 可 将 消息 表示 为 分 组 长 为 
512 的 一 系列 分 组 Yo ,Yi ,… ,YL-1; 而 每 一 分 组 又 可 表示 为 16 个 32 位 长 的 字 , 这 样 消息 中 
的 总 字数 为 N==LX16, 因 此 消息 又 可 按 字 表 示 为 ML0,…,N 一 1], 如 图 5-17 所 示 。 
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填充 (1 一 512 b) ”消息 长 度 (K mod 259) 


ZX512 b=Nx32b -— 
一 Kb 这 












































5-16 利用 MD5 Hash 产生 消息 摘要 











| 消息 Ey 64b | 
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Lx512b 疾 


5-17 消息 填充 














2) 缓冲 区 初始 化 
Hash 函数 的 中 间 结 果 和 最 终结 果 保 存 于 128 位 的 缓冲 区 中 ,缓冲 区 用 32 位 的 寄存 器 
表示 。 可 用 4 个 32 位 长 的 字 表 示 : A、B、C、D。 初 始 存 数 以 十 六 进 制 表 示 为 
A=01234567 
B=89ABCDEF 
C=FEDCBA98 
D=76543210 
3) Hm; 运算 
以 分 组 为 单位 对 消息 进行 处 理 , 每 一 分 组 Y,(g 二 0,…,L 一 1) 都 经 过 压缩 函数 及 wo; 处 
理 。Hwos 是 算法 的 核心 ,其 中 又 有 4 轮 处 理 过 程 。Hwos 的 4 轮 处 理 过 程 结构 一 样 ,但 所 用 
的 逻辑 函数 不 同 , 分 别 表示 为 FG、H、1。 每 轮 的 输入 为 当前 处 理 的 消息 分 组 Y。 和 缓冲 区 
的 当前 值 A、.B、C、D, 输 出 仍 放 在 缓冲 区 中 以 产生 新 的 A、B、C、D。 每 轮 又 要 进行 16 步 迭 代 
运算 ,4 轮 共 需 64 步 完 成 。 第 4 轮 的 输出 与 第 一 轮 的 输入 相 加 得 到 最 后 的 输出 ,如 图 5-18 
所 示 。 
这 里 64 步 处 理 基 本 结构 相同 ,只 不 过 每 一 轮 用 到 逻辑 函数 各 不 相同 ,同时 每 一 步 的 输 
人 参数 也 有 所 不 同 。 一 步 迭 代 的 过 程 如 图 5-19 所 示 。 
其 中 函数 g(b,c,d) 为 逻辑 函数 。4 轮 运 算 中 使 用 的 逻辑 函数 如 表 5-1 所 示 。 
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5 A BI cf Dl 
FT[1 :16], Xi] 
16 步 
A BI cf bi 
G,T[17:…32], X[P2()] 
16 步 
A 1 B 1 时 D 
H.T[33:…*48], X[p3()] 
( 16 步 ) 
Af Bl C pt 
. ( LT[49…64], [Pa 六 人 
16 步 
| 
', I| Lr 
十 十 
1 128 
Ch 
图 5-18 一 个 分 组 的 Hos 处 理 
A B C D 
De 
中 
XI 一 下) 
Ti 一 一 (由 ) 
A B C D 
图 5-19 一 步 迭 代 
表 5-1 逻辑 函数 
轮 基本 函数 g 8(bcyd) 
Flb,csd) (BAOV (6 Ad) 
多 Glbscsd) (GADV cAd-) 
3 H(b,csd) bPDeDad 
4 I(b,c,d) cBbVd- 
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其 中 ,cd 分 别 表示 寄存 器 B.C、D 中 的 内 容 。 运 算 人 、V 、 、 田 分 别 表 示 逻 辑 操作 AND、 
OR NOT 、XOR 。 
X[LA] 为 当前 分 组 的 第 & 个 32 位 字 。 每 一 步 使 用 的 X[k] 如 表 5-2 所 示 。 


表 5-2 512 位 分 组 中 X[K] 的 使 用 顺序 


第 1 轮 X[0] X[1] X[2] X[3] X[4] X[5] X[6] X[7] X[8] X[9] X[10] XC11] X[12] X[13] X[14] XL15] 
第 2 轮 X[1] X[6] X[11] X[o] X[5] X[10] X[15] X[4] X[9] X[14] X[3] X[8] X[13] X[2] X[7] X[12] 
第 3 轮 X[5] X[8] X[11] X[14] X[1] X[4] X[7] X[10] X[13] X[o] X[3] X[6] X[9] X[12] X[15] X[2] 
第 4 轮 X[0] X[7] X[14] XL5] X[12] X[3] X[10] X[1] X[8] X[15] X[6] XL13] X[4] X[11] X[2] X[9] 


图 5-19 中 的 T[ 门 为 22 Xabs(Sin(7i)) 的 整数 部 分 ,i 是 弧度 。T[1,…,64] 为 64 个 元 素 
表 , 分 4 组 参与 不 同 轮 的 计算 ,T[ 让 参与 运算 的 作用 是 消除 输入 数据 的 规律 性 。 表 5-3 所 示 
为 工 的 所 有 值 。 


表 5-3 从 正弦 函数 构造 的 表 了 





























T[1]= d76aa478 T[17]= f6le2562 T[33]= fffa3942 T[49]= {4292244 
T[2]= e8c7b756 T[18]= c040b340 T[34]= 8771f681 T[50]= 432aff97 
T[3]= 242070db T[19]= 265e5a51 T[L35]= 6d9d6122 T[51]= ab9423a7 
T[4]= clbdceee T[20]= e9b6c7aa T[36]= fde5380c T[52]= fc93a039 
T[5]= f57cOfaf T[21]= d62f105d T[37]= a4beea44 T[53]= 655b59c3 
T[6]= 4787c62a T[22]= 02441453 T[38]= 4bdecfa9 T[54]= 8f0ccc92 
T[7]= a8304613 T[23]= d8ale681 T[39]= f6bb4b60 TL55]= ffeff47d 

T[L8]= fd469501 TL[24]= e7d3fbc8 TL40]= bebfbc70 T[56]= 85845ddl 
T[9]= 698098d8 T[25]= 2lelcde6 T[41]= 289b7ec6 T[57]= 6fa87e4f 
T[10]= 8b44f7af T[26]= c33707d6 T[42]= eaal27fa T[58]= fe2ce6e0 

T[11]= ffff5bbl T[27]= f4d50d87 T[L43]= d4ef3085 T[59]= a3014314 
T[12]= 895cd7be T[28]= 455al4ed T[44]= 04881d05 T[60]= 4e0811al 
T[13]= 6b901122 T[29]= a9e3e905 T[45]= d9d4d039 T[61]= {£7537e82 
T[14]= fd987193 T[30]= fcefa3f8 T[46]= e6db99e5 T[62]= bd3af235 
T[15]= a679438e T[31]= 676f02d9 T[47]= 1fa27cf8 T[63]= 2ad7d2bb 
T[16]= 49b40821 T[32]= 8d2a4c8a T[48]= c4ac5665 T[L64]= eb86d391 


图 5-19 中 的 CLSs 为 循环 左 移 ; 位。 其 中 第 1 轮 的 1 一 4 步 分 别 循环 左 移 7、12、17、22 
位 ,剩余 12 步 则 分 别 重复 左 移 7、12、17、22 位 , 即 第 5 一 8 步 也 分 别 循环 左 移 7、12、17、22 
位 ,以 此 类 推 。 

第 2 轮 则 分 别 循环 左 移 5、9、14、20 位 ,第 3 轮 分 别 循 环 左 移 4、11、16、23 位 ,第 4 轮 分 
别 循环 左 移 6、10、15、21 位 。 

通过 这 64 步 运算 之 后 ,所 得 的 结果 与 最 初 输入 的 分 组 进行 模 2* 加 法 。 所 得 结果 成 为 
下 一 个 分 组 进行 运算 的 缓冲 区 初始 值 : 以 此 类 推 。 

4) 输出 

所 有 的 工 个 512 位 分 组 都 处 理 完 后 ,最 后 一 个 分 组 的 输出 即 为 128 位 的 消息 摘要 。 
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2. SHA 算法 


安全 散 列 算法 (secure Hash algorithm,SHA) 是 美国 国家 安全 局 设计 ,美国 国家 标准 与 
技术 研究 院 发 布 的 一 系列 密码 散 列 函数 。 正 式 名 称 为 SHA 的 家 族 第 一 个 成 员 发 布 于 1993 
年 。 然 而 现在 的 人 们 给 它 取 了 一 个 非 正 式 的 名 称 SHA-0 以 避免 与 它 的 后 继 者 混淆 。 两 年 
之 后 ,SHA-1 ,第 一 个 SHA 的 后 继 者 发 布 了 。 另 外 还 有 4 种 变 体 ,曾经 发 布 以 提升 输出 的 
范围 和 变更 一 些 细微 设计 : SHA-224,SHA-256,SHA-384 和 SHA-512( 这 些 有 时 候 也 被 称 
作 SHA-2) 。 

SHA-1 基于 MD4 算法 ,并 与 之 非常 类 似 。 算 法 输入 为 小 于 2# 位 长 的 任意 消息 ,经 过 
填充 后 分 组 为 512 位 长 ,计算 出 的 Hash 值 为 160 位 。 

与 MD5 处 理 消 息 的 过 程 一 样 ,SHA-1 算法 也 将 消息 按 512 位 分 组 处 理 , 基本 步 又 
如 下 : 

1) 消息 填充 

填充 消息 使 其 长 度 与 448 模 512 同 余 , 即 长 度 等 于 512 位 的 整数 倍加 上 448 位 。 填 充 
方法 是 在 消息 后 附加 一 个 1 和 若干 个 0。 然 后 附 上 表示 填充 前 报 文 长 度 的 64 位 数据 (最 高 
有 效 位 在 前 ) 。 

2) 缓冲 区 初始 化 

Hash 函数 的 中 间 结 果 和 最 终结 果 保 存 于 160 位 的 缓冲 区 中 ,缓冲 区 用 5 个 32 位 的 寄 
存 器 (A、B、C、D、E) 表 示 , 并 将 这 些 寄存 器 初始 化 为 下 列 32 位 的 整数 : 

A=67452301; B=EFCDAB89; C=98BADCFB; D=10325476; E 一 C3D2E1F0。 

3) Hsuai 运 算 

执行 算法 主 循环 。 每 次 循环 处 理 一 个 512 位 的 分 组 , 故 循环 次 数 为 填充 后 消息 的 分 组 
数 ,执行 过 程 如 图 5-20 所 示 。 


Mo(512 位 ) Mi(512 位 ) Mi-(512 位 ) 


| LL 
一 “一 一 AshA- HsHa-1 2 FA CV 
160 位 160 位 160 位 160 位 


TeC 内 CH CV 


图 5-20 利用 SHA-1 算 法 产生 消息 摘要 























算法 的 核心 是 具有 4 轮 运算 的 模块 ,每 轮 执 行 20 步 迭 代 。 每 轮 的 输入 为 当前 处 理 的 消 
息 分 组 Y, 和 缓冲 区 的 160bit 当前 值 A、.B、C、D、E, 输 出 仍 放 在 缓冲 区 中 以 产生 新 的 A、B、 
C.D。 每 轮 又 要 进行 20 步 迭 代 运 算 ,4 轮 共 需 80 步 完成 。 第 4 轮 的 输出 与 第 一 轮 的 输入 相 
加 得 到 最 后 的 输出 。4 轮 运算 的 结构 相同 ,但 每 轮 使 用 一 个 不 同 的 加 法 常量 天 ,, 其 中 上 表示 
步 数 ,0 过 上 径 79, 且 各 轮 使 用 不 同 的 基本 逻辑 函数 ,分 别 是 1 、fs、fs、f1。 各 轮 中 使 用 的 加 
法 常量 如 表 5-4 所 示 。 
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表 5-4 SHA-1 算法 中 使 用 的 加 法 常量 





步 又 十 六 进 制 
0<i1<19 K,=5A827999 
20<t<39 K,=6ED9IEBAl 
40<1<59 K, =8F1BBCDC 
60<t<79 K,=CA62C1D6 


4 轮 运算 中 使 用 的 逻辑 函数 如 表 5-5 所 示 。 
表 5-5 ”SHA-1 算法 中 使 用 的 逻辑 函数 





轮 基本 函数 函 数 值 

于 万 (B,C,D) (BAOV (B- AD) 

名 f2(B,C,D) BOCOD 

3 fi(B,C,D) (BAOV (BADV (CAD) 
4 fi(B,C,D) BC@D 


一 个 分 组 的 有 sai 处 理 过 程 如 图 5-21 所 示 。 
史 ch, 








fi,KWIO*…19] ) 
20 步 


Al Bf cf pf Et 
万 反 HT20…39] | 
20 步 


Al BI cf pf El 


q 
512 
,KWI40…*59] ) 
20 步 

















Al Bl cf pf El 
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5-21 一 个 分 组 的 Hsnai 处 理 


处 理 一 个 512 位 的 分 组 要 执行 80 步 , 其 中 每 一 步 的 执行 过 程 如 图 5-22 所 示 。 

在 图 5-22 中 ,A、B.C、D、E 是 缓冲 区 的 5 个 字 ;“ 十 ”表示 模 2” 相 加 ; f, 是 第 t 步 使 用 
的 逻辑 函数 ; K, 是 第 t 步 使 用 的 加 法 常量 ; CLSs 表示 32 位 的 变量 循环 左 移 5 位 ; CLSso 表 
示 32 位 的 变量 循环 左 移 30 位 ; W, 是 从 当前 的 512 位 输入 分 组 中 导出 的 32 位 字 。W, 的 导 
出 过 程 如 图 5-23 所 示 。 
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5-22 SHA 的 单 步 操作 
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图 5-23 W, 的 导出 过 程 


W, 的 前 16 个 值 (W。 ,Wi,…,Ws) 直接 取 为 输入 分 组 中 的 第 1 个 字 , 其 余 值 (Ws， 
Wir… Wa) 取 为 W, 二 CLS1 (We Wm Ws Ws)。 

4) 输出 

所 有 工 个 512 位 的 分 组 处 理 完 后 ,第 工 个 分 组 的 输出 就 是 160 位 的 消息 摘要 。 

SHA-1 和 MD5 相 比 ,尽管 两 者 都 是 基于 MD4, 在 很 多 方面 表现 出 的 性 质 则 各 有 不 同 。 
在 抗 穷 举 攻击 方面 ,SHA-1 的 消息 摘要 要 比 MD5 的 消息 摘要 长 32 位 ,所 以 SHA-1 的 抗 穷 
举 攻击 的 能 力 要 比 MD5 强 很 多 。 但 由 于 SHA-1 的 执行 步 数 要 比 MD5 多 ,所 以 SHA-1 的 
执行 速度 比 MD5 要 慢 得 多 。 


3. 其 他 Hash 算法 


1) MD4 

Rivest 在 1990 年 开发 出 MD4 算法 。 与 前 面 介绍 的 MD5 一 样 ,MD4 算法 需要 填补 信 
息 以 确保 信息 的 字 节 长 度 加 上 448 后 能 被 512 整除 (信息 字 节 长 度 mod 512 二 448)。 然 
后 ,一 个 以 64 位 二 进 制 表示 的 信息 的 最 初 长 度 被 添加 进来 。 信 息 被 处 理 成 512 位 迭代 结构 
的 区 块 ,而 且 每 个 区 块 要 通过 三 个 不 同步 又 的 处 理 。Den boer 和 Bosselaers 以 及 其 他 人 很 
快 地 发 现 了 攻击 MD4 版 本 中 第 1 步 和 第 3 步 的 漏洞 。Dobbertin 向 大 家 演示 了 如 何 利用 一 
部 普通 的 个 人 计算 机 在 几 分 钟 内 找到 MD4 完整 版 本 中 的 冲突 (这 个 冲突 实际 上 是 一 种 漏 
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洞 , 它 将 导致 对 不 同 的 内 容 进行 加 密 却 可 能 得 到 相同 的 加 密 后 结果 )。 毫 无 疑问 ,MD4 就 此 
被 淘汰 掉 了 。 尽 管 MD4 算法 在 安全 上 有 个 这 么 大 的 漏洞 ,但 它 对 在 其 后 才 被 开发 出 来 的 
好 几 种 信息 安全 加 密 算法 的 出 现 却 有 着 不 可 忽视 的 引导 作用 。 

和 MD5 相 比 ,MD4 算法 使 用 3 轮 运算 ,每 轮 16 步 ,MD5 则 使 用 四 轮 运算 ,每 轮 16 步 ; 
MD4 的 第 1 轮 没有 使 用 加 法 常量 ,第 2 轮 运算 中 每 步 迭 代 使 用 的 加 法 常量 相同 ,第 3 轮 运 
算 中 每 步 迭 代 使 用 的 加 法 常量 相同 ,但 不 同 于 第 2 轮 使 用 的 加 法 常量 ; MD5 的 64 步 使 用 
的 加 法 常量 T[ 丫 均 不 同 ; MD4 使 用 三 个 基本 逻辑 函数 ,MD5 则 使 用 4 个; MD5 中 每 步 迭 
代 的 结果 都 与 前 一 步 的 结果 相 加 ,MD4 则 没有 。 

总 的 来 看 ,MD5 比 MD4 更 复杂 ,所 以 其 执行 速度 也 更 慢 ,Rivest 认为 增加 复杂 性 可 以 
增加 安全 性 。 

2) RIPEMD 算法 

顾名思义 ,RIPEMD 就 是 成 熟 MD 算法 ,是 Hans Dobbertin 等 三 人 在 MD4、MD5 的 基 
础 上 于 1996 年 提出 来 的 。 算 法 共有 4 个 标准 : 128、160、256 和 320, 其 对 应 输出 长 度 分 别 
为 16 字 节 、20 字 节 、32 字 节 和 40 字 节 。 不 过 ,RIPEMD 的 设计 者 们 根本 就 没有 真正 设计 
256 和 320 位 这 两 种 标准 ,他 们 只 是 在 128 位 和 160 位 的 基础 上 ,修改 了 初始 参数 和 S-box 
来 达到 输出 为 256 和 320 位 的 目的 。 所 以 ,256 位 的 强度 和 128 相当 ,而 320 位 的 强度 和 
160 位 相当 。RIPEMD 建立 在 MD 的 基础 之 上 ,所 以 ,其 添加 数据 的 方式 和 MD5 完全 
一 样 。 

RIPEMD-160 的 输入 可 以 是 任意 长 的 报 文 , 输 出 160 位 摘要 ,对 输入 按 512 位 分 组 ,以 
分 组 为 单位 处 理 。 算 法 的 核心 是 具有 十 轮 运算 的 模块 ,十 轮 运算 分 成 两 组 ,每 组 五 轮 ,每 轮 
16 步 迭 代 。 





544 对 Hash 函数 的 攻击 


一 般 来 说 ,对 一 个 Hash 算法 的 攻击 可 分 三 个 级 别 : 

(1) 预 映 射 攻击 (preimage attack): 给 定 Hash 值 ,找到 其 所 对 应 的 明文 M, 使 得 
Hash(M) 二 h ,这 种 攻击 是 最 彻底 的 ,如 果 一 个 Hash 算法 被 人 找 出 预 映射 , 那 这 种 算法 是 不 
能 使 用 的 。 

(2) 次 预 映 射 攻击 (second preimage attack) : 给 定 明 文 Mi ,找到 另 一 明文 M; (Mi 关 
Ms) ,使 得 Hash(Mi) 二 Hash(M), 这 种 攻击 其 实 就 是 要 寻找 一 个 弱 碰 撞 。 

(3) 碰撞 攻击 (collision attack): 找到 M， 和 Mj ,使 得 HashCM )=Hash(CM, ) ,这 种 攻 
击 其 实 就 是 要 寻找 一 个 强 碰撞 。 

要 完成 以 上 的 攻击 行为 ,目前 一 般 都 是 靠 穷 举 的 方法 ,因为 那些 没有 通过 分 析 和 差分 攻 
击 考验 的 算法 ,大 多 都 已 经 天 折 在 实验 室 里 了 。 因 此 ,如 果 目 前 流行 的 Hash 算法 能 完全 符 
合 密码 学 意义 上 的 单 向 性 和 无 碰撞 性 ,就 保证 了 只 有 穷 举 , 才 是 破坏 Hash 运算 安全 特性 的 
唯一 方法 。 

为 了 攻击 弱 无 碰撞 性 ,可 能 要 穷 举 个 数 和 散 列 值 空间 长 度 一 样 大 的 输入 , 即 尝试 2 或 
2'" 个 不 同 的 输入 。 

一 种 被 称 为 “生日 攻击 ”的 方法 用 于 寻找 一 个 强 碰撞 ,有 效 地 降低 了 需要 穷 举 的 空间 ,将 
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其 降低 为 大 约 2* 或 2”。 所 以 , 强 无 碰撞 性 是 决定 Hash 算法 安全 性 的 关键 。 下 面 着 重 介绍 
“ 生 月 攻击 ”。 


1. 弱 碰 撞 


“生日 攻击 ” 旨 在 寻找 一 个 强 碰撞 ,能 够 大 大 减少 攻击 的 计算 代价 。 为 了 突出 显示 这 一 
点 ,首先 分 析 一 下 寻找 一 个 弱 碰 撞 所 需 的 计算 代价 。 

考虑 这 个 问题 : 给 定 一 个 散 列 函数 所 和 某 Hash 值 H(z) ,假定 互 有 ?个 可 能 的 输出 。 
如 果 态 有 k 个 随机 输入 ,k 必须 为 多 大 才能 使 至 少 存在 一 个 输入 y, 使 得 电 (y) 二 H(z) 的 概 
率 大 于 0.5? 

因为 有 H 有 种 可 能 的 输出 ,所 以 对 于 某 个 y 值 ,H(y) 二 H(z) 的 概率 为 1/n。 那 么 
H(y) 了 H(z) 的 概率 为 1 一 1/n。 

那么 随机 地 产生 & 个 随机 的 y 值 , 均 使 玉 (y) 隆 有 H(z) 的 概率 为 (1 一 1/n)*。 

所 以 在 个 随机 的 y 值 当 中 至 少 有 一 个 使 有 H(y) 二 有 H(z) 的 概率 为 1 一 (1 一 1/n)*。 

根据 二 项 式 定理 


全 二 吉庆 三 下 二 大 二 全 


人 一 1) ， AL 一 TD 一 2) ， 
pr 31 oe 


当 a 很 小 时 ,(1 一 a)* 守 1 一 ka, 所 以 对 于 (1 一 1/n)*, 当 nn 很 大 时 ,1 一 (1 一 1/n)* 守 1 一 
(1—k/n)=k/n。 

现在 要 使 这 个 概率 等 于 0.5, 即 /n= 二 0.5, 所 以 ,k= 二 n/2。 因 此 可 以 得 到 如 下 结论 : 

如 果 Hash 码 为 m 位 , 则 有 2” 个 可 能 的 Hash 码 。 

如 果 给 定 h 二 有 H(z) ,要 想 找到 一 个 y, 使 H(y) 一 六 的 概率 为 0.5, 则 要 进行 多 次 的 尝 
试 ,尝试 的 次 数 大 约 为 & 一 2"/2 一 2”: 。 

所 以 ,对 于 一 个 使 用 64 位 的 Hash 码 ,攻击 者 要 想 找到 满足 H(M') 二 HCM) 的 M' 来 蔡 
代 M, 即 寻找 一 个 弱 碰 撞 ,平均 来 讲 , 他 找到 这 样 的 消息 大 约 要 进行 2” 次 尝试 。 


2. 生日 悖 论 


在 讨论 生日 攻击 的 理论 基础 之 前 , 先 来 分 析 另 一 个 问题 : 在 一 个 教室 中 ,最 少 应 有 多 少 
学 生 , 才 能 使 至 少 有 两 人 具有 相同 生日 的 概率 不 小 于 0.5? 

第 一 个 人 的 生日 占 了 一 天 ,因此 第 二 个 人 有 不 同 生日 的 概率 为 364/365 ,第 三 个 人 则 少 
了 两 个 选择 ,因此 他 与 前 两 个 人 生日 都 不 同 的 概率 是 363/365 , 依 此 类 推 , 第 & 个 人 与 前 面 
k 一 1 个 人 生日 都 不 同 的 概率 是 [365 一 (k 一 1)]/365。 




















py 村 364 363 .365—(k—1) 
所 以 ,这 个 人 生日 均 不 相同 的 概率 是 565 X 565X x 365 ,那么 这 个 人 中 
至 少 有 两 个 相同 的 概率 则 为 
364 、363 365 一 (一 1) 3651 
0 365 1 一 365 二 人 10365 


可 以 计算 出 , 当 & 王 23 时 ,p= 二 0. 5073。 
当 & 一 100 时 ,p 二 0.999 999 7。 
结果 说 明 只 需 23 人 , 即 任 找 23 人 ,从 中 总 能 选 出 两 人 具有 相同 生日 的 概率 至 少 为 0.5。 
概率 结果 与 人 的 直觉 是 相 违 背 的 。 这 说 明 某 些 事情 的 发 生 概率 是 比 我 们 的 感觉 要 大 得 
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多 的 。 
3. 生日 攻击 


1) 生日 攻击 的 理论 基础 
给 定 两 个 集合 X 和 YY, 每 个 集合 有 上 个 元 素 : X: {ziyze，…z) 7: (yy yy)， 
其 中 ,各 元 素 的 取 值 是 1~n 之 间 的 均匀 分 布 的 随机 值 (k=n) ,那么 ,这 两 个 集合 中 至 少 有 一 
对 元 素 (X 中 的 一 个 元 素 和 Y 中 的 一 个 元 素 ) 相 同 的 概率 R(n,k) 是 多 少 呢 ? 
给 定 zi ,那么 一 zi 的 概率 为 1/ ,所 以 办 天 zi 的 概率 为 1 一 1/n。 那 么 Y 中 的 & 个 值 
都 不 等 于 zi 的 概率 为 (1 一 1/n)*。 
同 理 , 给 定 zz ,那么 Y 中 的 个 值 都 不 等 于 xz, 的 概率 为 (1 一 1/n)*。 
同 理 ,给 定 xz, 那么 Y 中 的 & 个 值 都 不 等 于 zx 的 概率 为 (1 一 1/n)*。 
所 以 ,Y 中 没有 任何 元 素 与 X 中 任何 元 素 相同 的 概率 为 
1 大 从 1 A 
P 人 5) ) 人 ;) 
那么 ,Y 中 至 少 有 一 个 元 素 与 X 中 元 素 相同 的 概率 为 
Rnby = = 人 于) 


n 


可 以 证 明 , 当 zx 三 0 时 ,不 等 式 (1 一 z+) 三 e “是 成 立 的 , 且 当 zx 了 0 时 ,1 一 x 之 e 7。 
根据 此 不 等 式 有 [1 一 十]<e 广 ,n>0, 所 以 , (1 一 十 】 一 (e)2 ,那么 





2 











Pa 
加 > 一 








R(n,k)= 1 f 


显然 , 当 1 一 e- 乞 二 0.5 时 ,R(n,k) 之 0.5。 由 此 可 得 ,二 Vnln3 一 0. 83\ 太 , 当 ) 很 大 
时 ,km 。 所 以 , 当 n 二 2” 时 ,kR 宅 2"”?。 也 就 是 说 ,对 于 一 个 使 用 64 位 的 Hash 码 , 攻 击 者 
要 想 找到 M 和 M ,使 得 hash(M ) 王 hash(CM: ) ,平均 来 讲 , 他 找到 这 样 的 消息 大 约 要 进行 
22 次 尝试 。 这 一 计算 代价 要 比 寻找 一 个 弱 碰 撞 小 得 多 。 

2) 实施 生日 攻击 

设 通信 双方 A 和 B 是 采用 如 图 5-24 所 示 的 公 钥 加 密 Hash 值 的 认证 方式 来 进行 通 
言 的 。 








-他 
M M 


-0 -本 
As。 ExlHOD] Kus 


图 5-24 公 钥 加 密 Hash 值 的 认证 方式 


























这 里 , 瓦 是 Hash 算法 ,E 是 公 钥 加 密 算法 ,Kr 是 A 的 私 钥 ,Ku 是 A 的 公 钥 ,D 是 解密 
算法 。 

那么 攻击 者 可 以 采用 下 述 方法 来 实施 生日 攻击 。 假 设 M 和 Hash 算法 生成 64 位 的 
Hash 值 。 攻 击 者 可 以 根据 M, 产 生 2” 个 表达 相同 含义 的 变 式 ( 如 在 词 与 词 之 间 多 加 一 个 
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空格 ) 。 同 时 准备 好 伪造 的 消息 M ,产生 22 个 表达 相同 含义 的 变 式 。 在 这 两 个 集合 中 , 找 
出 产生 相同 Hash 码 的 一 对 消息 M, 和 MI 。 根 据 前 面 分 析 的 生日 攻击 的 原理 ,找到 这 样 一 
对 消息 的 概率 大 于 0.5。 最 后 ,攻击 者 将 拿 Mi 给 发 送 者 签名 ,但 发 送 时 ,把 Mi 和 经 加 密 的 
Hash 码 一 起 发 送 。 

目前 对 Hash 攻击 的 研究 ,大 多 集中 在 如 何 降低 穷 举 的 空间 大 小 上 。 

2004 年 8 月 17 日 的 美国 加 州 圣 巴巴 拉 的 国际 密码 学 会 议 (Crypto'2004) 上 ,来 自 中 国 
山东 大 学 的 王小云 教授 做 了 破译 MD5、HAVAL-128、MD4 和 RIPEMD 算法 的 报告 ,公布 
了 MD 系列 算法 的 破解 结果 。 宣 告 了 固 若 金汤 的 世界 通行 密码 标准 MD5 的 保 垒 稻 然 倒 
塌 , 引 发 了 密码 学 界 的 轩然大波 。 

2005 年 2 月 15 日 ,在 美国 召开 的 国际 信息 安全 RSA 研讨 会 上 ,国际 著名 密码 学 专家 
Adi Shamir 宣布 ,他 收 到 了 来 自 中 国 山东 大 学 王小云 . 尹 依 群 、 于 红 波 等 三 人 的 论文 ,论文 
证 明 SHA-1 在 理论 上 也 被 破解 。 她 证 明了 对 于 160 位 SHA-1, 只 需要 大 约 2” 次 计算 就 能 
找到 一 个 碰撞 ,而 理论 值 是 2” 次 。 
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61 身份 认证 


在 现实 的 世界 里 ,要 验证 一 个 人 的 身份 有 许多 种 方法 ,如 根据 长 相 特 征 、 看 证 件 、 比 对 指 
纹 或 是 特殊 持 有 物 如 古代 将 军 的 虎 符 等 。 但 是 这 些 方 法 在 网 络 中 通常 是 行 不 通 的 ,因为 现 
在 的 计算 机 还 无 法 做 到 如 同人 类 一 般 的 判断 ,因此 在 网 络 里 必须 借 由 沟通 双方 所 共同 信赖 
的 验证 程序 验证 对 方 身份 ,这 种 方式 称 为 身份 认证 。 

身份 认证 是 验证 主体 的 真实 身份 与 其 所 声称 的 身份 是 否 符合 的 过 程 。 认 证 的 结果 只 有 
两 个 : 符合 和 不 符合 。 适 用 于 用 户 、 进 程 、 系 统 \ 信 息 等 。 

例如 ,平时 通过 身份 证 来 证 明 自己 的 身份 ,使 用 银行 卡 从 ATM 机 上 取款 ,使 用 密码 登 
录 计算 机 等 ,这 些 都 属于 身份 认证 。 

身份 认证 和 消息 认证 相 比 较 , 身 份 认 证 一 般 都 是 实时 的 ,消息 认证 一 般 不 提供 时 间 性 。 
另外 身份 认证 只 证 实 实体 的 身份 ,消息 认证 除了 消息 的 合法 和 完整 外 ,还 需要 知道 消息 的 
含义 。 

身份 认证 系统 的 组 成 如 下 : 

(1) 一 方 是 出 示 证 件 的 人 , 称 作 示 证 者 PC(prover) ,又 称 声称 者 (claimant) 。 

(2) 另 一 方 为 验证 者 V(verifier) ,检验 声称 者 提出 的 证 件 的 正确 性 和 合法 性 ,决定 是 否 
满足 要 求 。 

(3) 第 三 方 是 可 信赖 者 TP(trusted third party) ,参与 调解 纠纷 。 在 许多 应 用 场合 没有 
第 三 方 。 


61.1 身份 认证 的 物理 基础 


用 户 或 系统 主要 能 通过 三 种 方法 进行 身份 认证 。 
1. 用 户 所 知道 的 


在 互联 网 和 计算 机 领域 中 最 常用 的 认证 方法 是 密码 认证 ,也 就 是 用户 所 知道 的 "。 密 
码 实际 上 是 通信 双方 预先 约定 的 秘密 数据 。 这 种 方法 简单 易 行 ,不 需要 太 多 投入 就 可 以 实 
现 ,所 以 应 用 广泛 ,在 操作 系统 、 网 络 数据库 和 应 用 程序 中 都 采用 了 密码 验证 方法 。 但 这 种 
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方法 安全 性 不 够 高 ,因为 密码 有 可 能 被 窃取 、 丢 失 、 复 制 。 如 果 用 户 把 密码 告诉 了 其 他 人 , 则 
计算 机 也 将 给 予 那个 人 访问 权限 ,这 并 不 是 计算 机 的 失误 ,而 是 用 户 本 身 造成 的 。 而 且 绝 大 
多 数 用 户 都 没有 足够 的 安全 意识 ,所 选用 的 密码 都 是 所 谓 的 “ 弱 密 码 ”。 例 如 英国 的 在 线 银 
行 Egg 发 现 50% 的 用 户 选 用 家 庭 成 员 的 名 字 作 为 获取 在 线 银行 服务 的 密码 ,其 中 23% 是 
孩子 的 名 字 、19% 是 配偶 或 伙伴 的 名 字 、9% 是 用 户 本 人 的 名 字 。 这 些 密码 都 极 易 破解 。 所 
以 在 实际 应 用 中 ,密码 一 般 并 不 是 以 明文 的 形式 存在 和 使 用 ,而 是 采用 一 些 加 强 的 处 理 之 后 
才 使 用 的 。 

一 种 解决 的 办 法 是 对 密码 加 密 。 密 码 以 密 文 的 形式 存储 和 传输 ,并 且 对 用 户 密码 的 加 
密使 得 从 密码 的 密 文 恢复 密码 的 明文 在 计算 上 不 可 行 。 这 就 要 求 对 密码 的 加 密 算法 必须 是 
单 向 的 , 即 只 能 加 密 , 不 能 解密 。 在 验证 用 户 的 密码 时 ,验证 方 用 单 向 函数 加 密 ,并 与 存储 的 
密 文 相 比较 , 若 相等 , 则 确认 用 户 的 身份 有 效 ,否则 确认 用 户 身份 无 效 。 

为 了 安全 ,密码 应 当 经 常 更 换 。 在 安全 需求 非常 高 的 应 用 中 ,最 好 一 个 密码 只 用 一 次 ， 
这 就 是 “一 次 性 密码 ”。 实 现 一 次 性 密码 的 方式 很 多 ,如 每 次 进行 验证 时 , 先 由 验证 者 产生 一 
个 随机 数 zx, 然后 采用 对 称 密码 体制 将 工 加 密 , 并 传送 给 用 户 , 用 户 用 与 验证 者 共享 的 密 钥 
解密 得 到 xz, 然 后 将 (z 十 1) 加 密 ,传输 给 验证 者 。 验 证 者 接收 后 解密 得 到 (z 十 1) ,同时 验证 
者 根据 自己 的 zx 计算 (zx 十 1) ,将 结果 和 收 到 的 (z 十 1) 进 行 比较 ,如 果 相 等 则 通过 验证 。 由 
于 每 次 验证 产生 的 随机 数 都 互 不 相等 ,所 以 一 个 密码 就 只 使 用 了 一 次 。 一 次 性 密码 作为 身 
份 认证 方法 非常 重要 ,因为 使 用 这 种 密码 ,使 得 中 途 截 获 密码 变 得 毫 无 意义 。 由 于 要 产生 大 
量 的 一 次 性 密码 ,所 以 必须 采用 专用 的 设备 来 产生 密码 。 目 前 有 很 多 种 密码 生成 设备 ,有 的 
类 似 于 便携 式 计算 器 ,有 的 则 就 是 个 USB 接口 的 闪存 。 目 前 国内 有 些 银 行 的 网 上 银行 业务 
中 对 用 户 身份 进行 识别 时 都 采用 了 一 次 性 密码 技术 。 

对 于 安全 性 较 高 的 系统 ,往往 还 需要 和 其 他 的 认证 方法 共同 使 用 。 例 如 ,去 银行 取款 ， 
除了 需要 账号 的 取款 密码 以 外 ,还 需要 有 银行 发 的 存折 或 银行 卡 共 同 认 证 。 采 用 银行 卡 的 
方法 则 是 下 面 所 说 的 利用 “用 户 所 拥有 的 ”来 进行 认证 。 





2. 用 户 所 拥有 的 


这 种 认证 方式 相对 复杂 ,成 本 也 较 高 ,但 这 种 方法 的 安全 性 也 较 高 , 它 需 要 一 些 物理 原 
件 ,如 大 楼 的 通行 卡 ,只 有 在 扫描 器 上 划 卡 通过 验证 的 人 才能 够 进入 大 楼 。 但 是 像 这 样 的 磁 
卡 最 大 的 缺点 是 它 只 有 数据 存储 能 力 , 没 有 数据 处 理 能 力 , 没 有 对 记录 的 数据 进行 保护 的 机 
制 , 因 而 伪造 和 复制 磁卡 比较 容易 。 

随 着 微 处 理 器 的 发 展 ,出 现 了 智能 卡 。 在 计算 机 领域 的 典型 例子 就 是 智能 卡 的 使 用 ,所 
有 的 智能 卡 都 包含 一 块 芯片 ,存储 了 持 卡 人 的 个 人 信息 。 当 需要 某 种 服务 的 时 候 , 持 卡 人 在 
读 卡 设备 上 进行 认证 。 智 能 卡 可 以 说 是 最 小 的 个 人 计算 机 ,在 它 的 芯片 上 包含 有 CPU 、 存 
储 器 和 I/O 接口 ,而 且 有 操作 系统 的 软件 支持 ,有 数据 存储 和 计算 能 力 , 因 而 安全 保密 性 
更 好 。 

不 过 用 磁卡 或 智能 卡 作为 用 户 的 身份 凭证 进行 身份 认证 仍然 有 不 足 之 处 。 如 果 磁 卡 或 
智能 卡 丢 失 ,那么 捡 到 卡 的 人 就 可 以 假冒 真正 的 用 户 。 因 此 需要 一 种 磁卡 和 智能 卡 上 不 具 
有 的 身份 信息 ,这 种 身份 信息 通常 采用 个 人 识别 号 (personal identification number, PIN)。 
一 般 每 张 卡 的 持 有 者 都 拥有 一 个 个 人 识别 号 PIN。 这 个 PIN 不 能 写 到 卡 上 , 持 卡 人 必须 自 
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己 妥 善 保存 并 严格 保密 。PIN 可 以 由 金融 机 构 产 生 并 分 配给 持 卡 人 ,也 可 由 持 卡 人 选择 并 
报 金融 机 构 核 准 。 在 验证 过 程 中 ,验证 者 不 但 要 验证 持 卡 人 的 卡 是 真实 的 卡 ,同时 还 要 通过 
PIN 来 验证 持 卡 人 的 确 是 他 本 人 。 


3. 用 户 的 特征 


依据 人 类 自身 所 固有 的 生理 或 行为 特征 进行 识别 。 生 理 特征 与 生 俱 来 ,多 为 先天 性 的 ， 
如 指纹 、 眼 睛 虹膜 \ 人 脸 ,.DNA 等 ; 行为 特征 则 是 习惯 使 然 , 多 为 后 天 性 的 ,如 笔迹 、 步 态 等 。 
生物 识别 因此 包括 指纹 识别 ,虹膜 识别 、 人 脸 识别 、 掌 纹 识别 、 声 音 识别 ,签名 识别 .笔迹 识 
别 . 手 形 识别 . 步 态 识别 及 多 种 生物 特征 融合 识别 等 诸多 种 类 ,其 中 ,虹膜 和 指纹 识别 被 公认 
为 最 可 靠 的 生物 识别 方式 。 

这 种 认证 利用 了 一 些 不 能 复制 的 个 人 特征 ,如 指纹 .视网膜 ,面部 特征 等 。 这 种 方法 也 
被 认为 是 生物 测定 学 。 这 样 的 认证 系统 安全 性 高 ,但 成 本 也 较 高 。 另 外 ,技术 上 的 发 展 也 证 
明 , 这 些 生 物 特 征 在 安全 上 也 并 不 是 无 懈 可 击 的 。 例 如 ,有 研究 者 在 2002 年 发 现 可 以 用 凝 
胶 铸 成 的 指纹 模子 瞒 骗 指 纹 识 别 器 。 在 有 些 场合 ,指纹 识别 也 并 不 适用 ,如 在 医院 的 计算 机 
系统 应 用 中 ,由 于 医生 、 护 士 在 工作 中 要 经 常 洗手 ,他 们 都 不 太 愿意 使 用 指纹 识别 系统 。 

视网膜 的 图 案 的 确 是 独一无二 的 ,用 视网膜 做 认证 也 的 确 十 分 可 靠 , 但 是 由 于 需要 使 用 
聚光灯 来 获取 独特 的 眼球 后 面 的 血管 图 ,并 不 是 每 个 登录 系统 的 人 都 愿意 用 一 个 仪器 扫描 
自己 的 眼睛 ,因为 人 的 肉眼 暴露 在 这 种 视网膜 扫描 装置 下 会 觉得 很 不 舒服 。 所 以 这 样 的 系 
统 只 在 一 个 高 安全 环境 中 实施 。 


612 身份 认证 方式 


身份 认证 根据 其 实现 方式 的 不 同 可 以 分 为 三 类 , 即 单 向 认证 (one-way authentication)、 双 
向 认证 (two-way authentication) 和 信任 的 第 三 方 认证 (trusted third-party authentication) 。 每 一 
种 实现 方式 又 可 以 根据 不 同 的 需求 采用 对 称 密码 或 非 对 称 密码 来 实现 。 


1. 单 向 认证 


单 向 认证 是 通信 的 一 方 认证 另 一 方 的 身份 ,如 服务 器 在 提供 用 户 申请 的 服务 以 前 , 先 要 
认证 用 户 是 否 是 这 项 服务 的 合法 用 户 ,但 是 不 需要 向 用 户 证 明 自 己 的 身份 ,如 图 6-1 所 示 。 

客户 端 只 需 提供 客户 标识 和 密码 给 服务 器 端 确 认 , 服 务 器 端 确认 后 就 允许 客户 端的 
登录 。 

单 向 认证 可 以 用 对 称 密码 或 非 对 称 密码 体制 来 实现 。 

(1) 用 对 称 密码 体制 实现 单 向 认证 的 方法 如 图 6-2 所 示 。 

















1) 客户 标识 ， 密 三 
(1) 客户 标识 ， 密 码 当 @ E(RAKS) 
客户 端 (2) 认证 信息 服务 器 端 回 E(ARA).KS) 


图 6-1 单 向 认证 图 6-2 基于 对 称 密码 的 单 向 认证 
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这 里 ,A 需要 单 向 认证 B 的 身份 。A 首先 产生 一 个 随机 数 Rs ,用 双方 共享 的 密 钥 Ks 
对 其 加 密 后 发 送 给 B, 同 时 A 对 Rs 施加 某 函 数 变换 f ,得 到 FCRA) ,其 中 了 是 某 公 开 的 简 
单 函数 。B 收 到 报 文 后 ,用 密 钥 Ks 对 其 收 到 的 报 文 解密 得 到 尺 ,对 其 施加 函数 变换 矿 ,再 
用 Ks 对 了 (Rs) 加 密 后 发 送 给 A。A 收 到 报 文 后 用 Ks 解密 ,并 与 其 原先 计算 的 FCRA ) 比 
较 , 若 两 者 相等 , 则 B 的 身份 通过 了 A 的 认证 。 

(2) 用 非 对 称 密码 体制 实现 单 向 认证 的 方法 如 图 6-3 所 示 。 

A 首先 产生 一 个 随机 数 RA ,并 发 给 B。B 收 到 后 用 其 私 钥 Kss 对 Rs 的 加 密 , 然 后 发 送 
给 A。A 用 B 的 公 钥 解密 ,如 果 得 到 的 结果 等 于 Ra, 则 B 的 身份 通过 了 A 的 认证 。 


2. 双向 认证 


双向 认证 需要 通信 双方 互相 认证 对 方 的 身份 。 双 方 都 要 提供 用 户 名 和 密码 给 对 方 , 才 
能 通过 认证 。 这 种 认证 方式 不 同 于 单 向 认证 ,客户 端 还 需要 认证 服务 器 端的 身份 ,这 样 用 户 
还 需要 服务 器 端的 ID 和 密码 ,如 图 6-4 所 示 。 

双向 认证 也 可 以 用 对 称 密码 或 非 对 称 密码 体制 实现 。 

(1) 用 对 称 密码 体制 实现 双向 认证 的 方法 如 图 6-5 所 示 。 





(1) 客户 标识 ， 密 码 = 


R /~ 异 
® E(RNKsn) 客户 喘 GD) 认证 信息 航务 器 六 


图 6-3 基于 非 对 称 密码 的 单 向 认证 图 6-4 双向 认证 





A 首先 产生 一 个 随机 数 RA ,用 双方 共享 的 密 钥 Ks 对 其 加 密 后 发 送 给 B。B 收 到 报 文 
之 后 ,用 密 钥 Ks 对 其 收 到 的 报 文 解密 得 到 Rs。。 然 后 B 也 产生 一 个 随机 数 Rs ,并 将 其 连接 
在 收 到 的 Rs 后 ,得 到 Rs | Ra,B 用 Ks 对 Ra Rs 加 密 后 发 送 给 A。A 收 到 后 用 Ks 解密 
得 到 有 RA 和 Rs ,如 果 收 到 的 R。 和 最 初 A 发 送 给 B 的 RA 相同 , 则 B 的 身份 通过 了 A 的 认 
证 。 最 后 ,A 用 Ks 对 Re 加 密 后 发 送 给 B,B 收 到 后 用 Ks 解密 得 到 Rs ,如 果 这 个 Re 和 最 
初 B 发 送 给 A 的 Rs 相同 , 则 A 的 身份 通过 了 B 的 认证 。 

(2) 用 非 对 称 密码 体制 实现 双向 认证 的 方法 如 图 6-6 所 示 。 


CD ECRAKS) DR 
Ce arymry Y) Geant 说 
® E(Re.Ks) ® E(Re,Ksn) 
图 6-5 基于 对 称 密码 的 双向 认证 图 6-6 ”基于 非 对 称 密码 的 双向 认证 


A 首先 产生 一 个 随机 数 RA ,并 发 给 B。B 收 到 后 也 产生 一 个 随机 数 Rs ,并 将 其 连接 在 
收 到 的 RA 后 ,得 到 Ra | Ra ,用 其 私 钥 Kss 对 Rs | Rs 加 密 ,然后 发 送 给 A。A 用 B 的 公 钥 
解密 ,得 到 Ra 和 Rs ,如 果 这 个 RA 和 最 初 A 发 送 给 B 的 Rs 相同 , 则 B 的 身份 通过 了 A 的 
认证 。 最 后 ,A 用 其 私 钥 Ksa 对 Rs 加 密 后 发 送 给 B,B 收 到 后 用 A 的 公 钥 解密 得 到 Rs ,如 
果 这 个 Rs 和 最 初 B 发 送 给 A 的 Rs 相同 , 则 A 的 身份 通过 了 B 的 认证 。 
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3. 信任 的 第 三 方 认证 


信任 的 第 三 方 (trusted third party) 认 证 也 是 一 种 通信 双方 相互 认证 的 方式 ,但 是 认证 
过 程 必须 借助 于 一 个 双方 都 能 信任 的 第 三 方 ,一 般 而 言 可 以 是 政府 机 构 或 其 他 可 信赖 的 机 
构 。 当 两 端 欲 进行 连 线 时 ,彼此 必须 先 通过 信任 第 三 方 的 认证 ,然后 才能 互相 交换 密 钥 ,而 
后 进行 通信 ,如 图 6-7 所 示 。 


信任 第 三 方 





(5) 被 认证 的 数据 
















(6) 被 认证 的 数据 
客户 端 服务 器 端 
图 6-7 信任 的 第 三 方 认 证 


下 面 介绍 一 种 第 三 方 认证 机 制 , 如 图 6-8 所 示 。 


图 FIDAlINPke) 
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6-8 第 三 方 认证 机 制 


其 中 ,KDC 是 公 钥 分 配 中 心 。 

首先 ,A 发 送 一 条 带 有 时 间 戳 的 消息 给 公 钥 管理 员 ,以 请 求 B 的 当前 公 钥 。 管 理 员 给 
A 发 送 一 条 用 其 私 钥 SKAr 加 密 的 消息 。 这 样 如 果 A 可 以 用 管理 员 的 公 钥 对 接收 到 的 消息 
解密 , 则 可 确信 该 消息 来 自 管理 员 。 消 息 中 的 内 容 包括 : 

(1) B 的 公 钥 Prs。A 可 用 它 对 要 发 送 给 B 的 消息 加 密 。 

(2) 原始 请 求 Request。A 可 用 它 与 其 最 初 发 出 的 请 求 相 比较 ,以 验证 其 原始 请 求 未 被 
修改 。 

(3) 原始 时 间 截 Time:! 。A 可 以 确定 它 收 到 的 不 是 来 自 管理 员 的 旧 消 息 。 

然后 ,A 保存 B 的 公 钥 ,并 用 它 对 包含 A 的 标识 IDA 和 临时 交互 号 的 消息 加 密 , 然 后 
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发 给 B, 这 个 临时 交互 号 用 来 唯一 标识 本 次 通信 。 

接着 ,B 采 用 同样 的 方法 ,通过 图 中 的 第 由 、@@ 两 步 ,从 管理 员 处 得 到 A 的 公 钥 。 然 后 
在 第 @ 步 中 ,B 用 Prks 对 A 的 临时 交互 号 Ni 和 也 产生 的 新 临时 交互 号 N, 加 密 , 并 发 送 给 
A。 因 为 只 有 B 可 以 解密 消息 曲 , 所 以 消息 @ 中 的 Ni 可 以 使 A 确信 其 通信 伙伴 就 是 B。 

最 后 ,A 用 B 的 公 钥 对 Ns 加 密 并 发 送 给 B, 以 使 B 相信 其 通信 伙伴 就 是 A。 

由 这 种 借助 于 信任 第 三 方 的 认证 方式 变化 而 来 的 认证 协议 相当 多 ,各 有 各 的 特色 与 优 
缺点 ,其 中 一 个 最 著名 的 例子 就 是 由 美国 麻 省 理工 学 院 提 出 的 Kerberos 协议 。 


613 Kerberos 协议 


Kerberos 是 在 20 世纪 80 年 代 中 期 作为 美国 麻 省 理工 学 院 “ 雅 典 娜 计划 ”(Project 
Athena) 的 一 部 分 被 开发 的 。Kerberos 要 被 用 于 其 他 更 广泛 的 环境 时 ,需要 做 一 些 修改 以 
适应 新 的 应 用 策略 和 模式 ,因此 ,从 1989 年 开始 设计 了 新 的 Kerberos 第 5 版 (Kerberos 
v5)。 尽 管 v4 还 在 被 广泛 使 用 ,但 一 般 将 v5 作为 Kerberos 的 标准 协议 。 

原本 Kerberos 广泛 使 用 于 UNIX 系统 上 ,如 Sun 公司 的 网 络 档案 系统 (Network File 
System,NFS) ,然而 近年 来 支持 Kerberos 认证 系统 的 厂商 越 来 越 多 ,如 Microsoft 的 
Windows 2000/XP 系统 以 及 Redhat Linux 等 都 支持 Kerberos 认证 协议 。 

Kerberos 协议 使 用 了 强 密码 ,以 使 Client 能 够 通过 不 安全 的 Internet 连接 向 Server 证 
明 他 的 身份 。 在 Client 和 Server 用 Kerberos 证 明了 各 自 的 身份 后 ,还 可 以 对 数据 加 密 从 
而 保证 数据 的 机 密 性 和 完整 性 。Kerberos 是 一 个 分 布 式 的 认证 服务 , 它 允 许 一 个 进程 (或 
客户 ) 代 表 一 个 主体 (或 用 户 ) 向 验证 者 证 明 他 的 身份 ,而 不 需要 通过 网 络 发 送 那些 有 可 能 会 
被 攻击 者 用 来 假冒 主体 身份 的 数据 。Kerberos 还 提供 了 可 选 的 客户 端 和 服务 器 端 之 间 数 
据 通信 的 完整 性 和 保密 性 。 


1. Kerberos 协议 的 应 用 环境 


Kerberos 协议 的 应 用 环境 为 : 在 一 个 分 布 式 的 Client/Server 体系 机 构 中 采用 一 个 或 
多 个 Kerberos 服务 器 提供 认证 服务 。Client 想 请 求 应 用 - 
服务 器 Server 上 的 资源 ,首先 Client 向 Kerberos 认证 服 
务 器 请 求 一 张 身份 证 明 ,然后 将 身份 证 明 交 给 Server 进 
行 验证 ,Server 在 验证 通过 后 , 即 为 Client 分 配 请 求 的 资 《cliot 并 CSsener) 


源 , 同 时 也 向 Client 证 明 自 己 的 身份 ,如 图 6-9 所 示 。 
图 6-9 Kerberos 的 基本 应 用 


2. Kerberos 协议 的 基本 架构 


在 Kerberos 认证 系统 中 总 共有 四 个 角色 : 客户 端 ,服务 器 .认证 服务 器 (authentication 
server,AS) 及 票据 授权 服务 器 (ticket-granting server,TGS) 。Kerberos 认证 系统 中 是 采用 
DES 作为 它 的 加 密 算法 ,每 一 个 使 用 者 都 会 有 一 个 自己 的 认证 密 钥 (authentication key) ,这 
个 认证 密 钥 会 存放 在 认证 服务 器 中 。 而 认证 服务 器 AS 负责 使 用 者 的 身份 确认 及 维护 使 用 
者 和 服务 器 的 资料 ,票据 授权 服务 器 TGS 专门 负责 产生 客户 端 与 服务 器 每 次 通信 时 所 要 使 
用 的 会 话 密 钥 (session key) 。 每 次 的 认证 与 会 话 密 钥 都 会 有 一 个 有 效 期 限 。 整 个 Kerberos 
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系统 架构 如 图 6-10 所 示 。 
每 个 用 户 仅 | 一 认证 服务 器 一 后 
登录 一 次 会 话 


Kerberos 













































每 个 服务 


会 话 一 次 
提供 服务 器 认证 码 
6-10 ”Kerberos 系统 架构 


在 Kerberos 系统 中 , 当 客 户 端 要 和 服务 器 通信 时 ,客户 端 会 先 向 认证 服务 器 AS 请 求 
一 张 与 票据 授权 服务 器 TGS 沟通 所 需要 的 票据 (可 以 把 票据 理解 为 通行 证 ) ,该 票据 中 有 一 
个 客户 端 与 票据 授权 服务 器 进行 通信 的 会 话 密 钥 人 .es ,还 包含 了 客户 端 和 服务 器 的 标识 、 
时 间 戳 及 有 效 期 限 。 当 客户 端 拿 到 了 与 TGS 通信 的 票据 后 ,客户 端 使 用 此 票据 再 向 TGS 
要 一 张 与 服务 器 连 线 所 需要 的 票据 (此 时 不 用 再 输入 密码 ) ,此 票据 中 即 包含 客户 端 和 服务 
器 会 话 所 需要 用 的 会 话 密 钥 。 最 后 ,客户 端 利用 该 会 话 密 钥 将 它 和 服务 器 之 间 的 通信 内 容 
加 密 以 在 网 络 上 传送 。 值 得 一 提 的 是 ,在 与 TGS 通信 和 所 使 用 的 票据 过 期 之 前 ,客户 端 若 要 
再 和 别 的 服务 器 连 线 的 话 , 就 只 要 通过 TGS 获取 服务 器 的 票据 即 可 ,不必 再 通过 AS。 

下 面 介 绍 Kerberos V4 认证 协议 的 详细 流程 ,总 共 分 为 三 大 步骤 : 

(1) 客户 端 认 证 : 客户 端 先 向 认证 服务 器 证 明 自 己 的 身份 以 便 取 得 与 TGS 通信 所 要 
使 用 的 票据 , 称 为 票据 授权 票据 (ticket-granting ticket) 。 

这 个 步骤 包含 了 图 6-10 中 的 信息 @@ 和 @: 

信息 @ CAS: ID. | IDs | TS,; 

信息 @ AS-~C: Ekc[LK.ws || IDe。 | TS; || Lifetime; || Ticketw, ]。 

其 中 
Ticketiss = Ekgs LK gs | ID. || AD. || IDs, || TS; || Lifetimes] 

在 上 述 的 信息 四 中 ,ID.、IDe. 及 TS, 是 用 来 让 AS 验证 客户 端的 身份 ,并 且 要 求 与 TGS 
沟通 ,此 信息 是 在 时 间 戳 TS, 时 产生 。 在 信息 @ 中 ,所 有 信息 都 使 用 KK.( 客 户 端 与 认证 服务 
器 所 共享 的 密 钥 ) 加 密 传 送 给 客户 端 以 避免 资料 被 别人 截取 。 开 .是 由 AS 所 产生 的 会 话 
密 钥 ,用 来 让 客户 端 和 TGS 沟通 时 使 用 ,如 此 一 来 ,客户 端 与 TGS 便 不 需要 共享 一 个 密 钥 
了 。1IDu, 是 用 来 表示 此 票据 是 用 来 与 TGS 沟通 用 的 。Lifetime* 用 来 告诉 客户 端 Tickete 
的 有 效 期 限 。TS; 为 另 一 个 时 间 戳 ,用 来 通知 客户 端 关于 Ticketwss 的 产生 时 间 。Ticketws 是 
给 客户 端 用 来 与 TGS 通信 用 的 票据 ,该 票据 是 用 AS 和 TGS 所 共享 的 密 钥 加 密 , 以 避免 被 
客户 端 算 改 资料 。 
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(2) 取得 与 服务 器 通信 的 票据 : 客户 端 从 TGS 取得 一 张 与 所 要 使 用 的 服务 所 需要 连 
线 的 服务 授权 票据 (service-granting ticket) 。 
这 个 步骤 包含 了 图 6-10 中 的 信息 @ 和 @: 
信息 @ CTGS: ID. || Tickete。 ‖ Authenticatore; 
信息 @ TGS-~C: Erkee[LKe. | ID. | TS, 1 Ticket,]。 
其 中 
Tickete 一 Erke[Kee || ID. || AD. | IDe。 || TS, || Lifetimes] 
Ticket, = Exs[LK., | ID. || AD. || ID, || TS, || Lifetime, J 
Authenticator. = Eke,wss LID. | AD. || TS; J] 
在 信息 名 中 ,ID, 用 来 表示 客户 端 C 要 求 与 服务 器 ID. 进行 通信 , Ticket 为 信息 思 中 
所 取得 的 ,用 来 证 明 C 已 通过 AS 的 认证 。Authenticator。 用 来 证 明 自 己 是 Ticketws 的 拥有 
者 。Ticketws 中 的 ID. 可 用 来 表示 此 票据 是 给 ID. 使 用 的 ,其 中 的 AD. 为 客户 端 所 在 计算 
机 的 网 络 地 址 ,用 来 限制 只 有 同样 网 络 地 址 的 机 器 才能 使 用 此 票据 ,这 可 避免 别人 用 同样 的 
ID 并 冒 用 此 票据 企图 取得 存 取 权限 。 票 据 中 加 入 IDs 可 用 来 验证 此 Ticketw; 解 密 是 否 成 
功 。 而 TS, 表示 此 Ticketw, 产 生 的 时 间 ,Lifetime。 用 来 表示 此 Ticketw, 的 有 效 期 限 。 
Authenticator。 是 由 客户 端 所 产生 的 ,其 使 用 期 限 非常 短 以 减少 遭受 他 人 重 放 攻 击 
(replay attack) 的 机 会 。 其 中 包括 一 个 TS; 时 间 惟 表示 此 Authenticator。 产生 的 时 间 。ID。 
和 AD. 都 是 用 来 与 Ticketw; 中 的 ID. 和 AD., 做 比 对 之 用 ,以 证 明 客户 端的 身份 。 
在 信息 中 中 ,所 有 信息 都 使 用 .ee 加密 传 送 给 客户 端 以 避免 资料 在 网 络 上 被 别人 截 
取 。 此 信息 包含 了 KK., 以 让 客户 端 能 够 与 服务 器 端 做 加 解密 。ID, 用 来 表示 Ticket, 是 用 
来 与 服务 器 S 沟通 之 用 。TS, 时 间 蕉 用 来 表示 此 Ticket, 的 产生 时 间 , 而 Ticket, 是 由 票据 
授权 服务 器 所 签发 给 客户 端 用 来 与 服务 器 通信 用 的 票据 。 
(3) 客户 端 与 服务 器 通信 : 使 用 所 需 服务 。 
这 个 步骤 包含 了 图 6-10 中 的 信息 @ 和 @: 
信息 @ CS: Ticket, |‖ Authenticator.; 
信息 @ SC; Ex..s[LTSs 十 1]。 
其 中 
Ticket,= Ers[LK.., | ID. | AD. | 1D, | TS, 1 Lifetimes J 
Authenticator. = Ex.,sLID., | AD. || TS; J] 
信息 @ 与 信息 @ 作 用 类 似 ,在 此 不 再 袭 述 ,而 信息 @ 是 客户 端 认证 服务 器 的 过 程 ,以 证 
明 该 服务 器 有 能 力 解密 信息 @ 的 Authenticator。 并 回 传 男 一 个 时 间 蕉 TS; 二 1。 在 网 络 遭 
受 攻击 时 ,有 可 能 会 有 入 侵 者 企图 假冒 服务 器 以 取得 客户 端的 一 些 机 密 资料 ,因此 在 客户 端 
与 服务 器 端 连 线 时 ,客户 端 也 有 必要 确认 服务 器 端的 身份 (尤其 是 在 从 事 电子 商务 活动 时 )， 
而 不 是 单 向 地 由 服务 器 端 认 证 客户 端 而 已 。 
通信 过 程 中 所 使 用 的 各 个 参数 定义 整理 列表 如 表 6-1 所 示 。 
在 Kerberos v4 版 本 中 整个 Kerberos 系统 属于 单一 网 域 ,而 更 新 版 本 (v5) 则 提供 了 比 
第 四 版 更 完善 的 认证 机 制 , 以 达到 跨 网 域 的 认证 需求 。 
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表 6-1 Kerberos 认证 系统 参数 说 明 





参 数 说 明 
C Client, 代 表 用 户 端 
S Server, 代 表 服 务 器 
TGS Ticket-Granting Server, 票 据 授权 服务 器 
TS Timestamp ,时 间 戳 。 代 表 的 是 一 个 时 间 序 列 的 顺序 ,如 TS: 字 TS, 时 表示 TS, 的 发 生 
时 间 在 TS, 之 后 
Ticket 票据 ,网 络 双方 通信 时 所 需要 的 有 效 凭 证 
Lifetime 用 来 表示 票据 的 有 效 期 限 
ID. 客户 端的 ID 
IDe。 票据 授权 服务 器 的 ID 
XK 认证 服务 器 AS 和 客户 端 共享 的 密 钥 
K, TGS 和 服务 器 共享 的 密 钥 
Ku 认证 服务 器 AS 和 票据 授权 服务 器 共享 的 密 钥 
Kiw 由 认证 服务 器 AS 所 产生 的 一 个 会 话 密 钥 ,用 来 让 客户 端 和 票据 授权 服务 器 TGS 通信 
Kg 由 TGS 传 给 客户 端 ,让 客户 端 能 够 与 服务 器 端 加 解密 资料 的 密 钥 
Ex 表示 信息 使 用 密 钥 K.。 加 密 
下 km 表示 信息 使 用 密 钥 Ke 加 密 
kee 表示 信息 使 用 密 钥 Ke 加密 
Ticket 客户 端 用 来 与 TGS 通信 用 的 票据 
Ticket, 客户 端 与 服务 器 通信 用 的 票据 
AD. 一 个 客户 端 所 在 位 置 的 IP 地 址 ,用 来 代表 谁 能 使 用 此 票据 


614 零 知识 证 明 


通常 的 身份 认证 都 要 求 传输 密码 或 身份 信息 (尽管 是 加 密 传输 )。 如 果 不 传输 这 些 信 
息 , 身 份 也 能 得 到 证 明 就 好 了 ,这 就 需要 零 知识 证 明 技 术 (the proof of zero knowledge) 。 

用 P 表 示 示 证 者 ,用 V 表示 验证 者 ,P 试图 向 V 证 明 自 己 知道 某 信息 。 一 种 方法 是 P 
说 出 这 一 信息 使 V 相信 ,这 样 V 也 知道 了 这 一 信息 ,这 是 基于 知识 的 证 明 ; 另 一 种 方法 是 
使 用 某 种 有 效 的 数学 方法 ,使 得 V 相信 他 掌握 这 一 信息 , 却 不 泄露 任何 有 用 的 信息 ,这 种 方 
法 称 为 零 知 识 证 明 。 

下 面 是 用 一 个 故事 来 说 明 零 知识 证 明 

P:“ 我 知道 主 系统 计算 机 的 密码 ”。 
“不 ,你 不 知道 ”。 
“我 知道 ”。 
“你 不 知道 1” 
“我 确实 知道 1” 
“请 你 证 实 这 一 点 1” 
“好 吧 ,我 告诉 你 1”( 她 悄悄 地 说 出 了 密码 )。 
:“ 太 有 趣 了 ! 现在 我 也 知道 了 。 我 要 进入 主 计算 机 。” 

P 要 证 明 一 些 事情 给 V 看 的 通常 方法 是 P 告诉 V。 但 这 样 一 来 V 也 知道 些 事情 。 
现在 ,V 就 可 以 告诉 他 想 要 告诉 的 其 他 人 ,而且 P 对 此 毫 无 办 法 。 


本 
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P 可 使 用 单 向 函数 进行 零 知 识 证 明 。 这 个 协议 向 V 证 明 P 确实 拥有 某 个 信息 ,但 却 没 
有 给 予 V 这 个 信息 的 内 容 。 

这 个 证 明 过 程 采 取 了 交互 式 协 议 的 形式 。V 问 P 

-系列 问题 ,如 果 了 知道 那个 信息 ,她 就 能 正确 地 回答 

所 有 问题 ,如 果 她 不 知道 ,她 仍 有 正确 回答 的 机 会 一 
在 如 下 例子 中 有 50% 的 机 会 。 大 约 在 十 个 问题 之 后 ， 
将 使 V 确信 P 知道 那个 信息 。 然 而 ,所 有 的 问题 或 回 
答 都 没有 给 V 提供 关于 P 所 知 信息 的 任何 信息 。 

可 以 用 一 个 关于 洞穴 的 故事 解释 零 知 识 ,如 图 6-11 
所 示 ,洞穴 里 面 有 一 个 秘密 8 咒语 ,只 有 知道 咒语 的 那些 
人 能 打开 C 和 D 之 间 的 密 门 。 














图 6-11 零 知识 洞穴 


P 知道 这 个 洞穴 的 秘密 。 她 想 对 V 证 明 这 一 点 ,但 她 不 想 泄露 咒语 。 下 面 是 她 如 何 使 
V 相信 的 过 程 : 


(1) V 站 在 A 点 。 

(2) P 一 直 走 进 洞 穴 ,到达 C 点 或 D 点 。 

(3) 在 P 消失 在 洞穴 中 之 后 ,V 走 到 B 点 。 

(4) V 向 了 喊叫 ,要 她 从 左 通道 出 来 ,或 者 从 右 通 道 出 来 。 

(5) P 答应 了 ,如 果 有 必要 她 就 用 咒语 打开 密 门 。 

(6) P 和 V 重复 步骤 (1) 一 (5)7 次。 

若 P 不 知 咒 请, 只 有 50% 的 机 会 猿 中 V 的 要 求 , 协 议 执行 nn 次 , 则 只 有 2 的 机 会 完全 
猜 中 , 若 "一 16, 则 若 每 次 均 通 过 V 的 检验 ,V 受骗 机 会 仅 为 1/65 536。 

这 种 思想 转化 为 数学 问题 ,很 容易 用 大 数 分 解 问题 或 离散 对 数 问题 来 实现 。 下 面 介 绍 

-种 最 简单 的 零 知 识 证 明 数 学 实现 。 

假如 P 想 说 服 V, 使 V 相信 她 确实 知道 的 因子 p 和 4g, 但 不 能 告诉 V, 最 简单 的 步 
又 是 : 

(1) V 随机 选择 一 整数 x 工 ,计算 xz: mod zz 的 值 , 并 告诉 P。 

(2) P 求 zx? mod n 并 将 它 告诉 V。 

(3) V 验证 x* mod n。 

V 知道 求 zz mod n 等 价 于 nn 的 因数 分 解 , 若 不 掌握 的 因数 p 和 9g, 求解 是 很 困难 的 。 


62 数字 签名 


消息 认证 用 以 保护 双方 之 间 的 数据 交换 不 被 第 三 方 侵犯 ,但 它 并 不 保证 双方 自身 的 相 
互 欺骗 。 假 定 A 发 送 一 条 包含 认证 码 的 消息 给 B, 他 们 之 间 仍 然 可 能 存在 争议 ,例如 A 可 
以 否认 发 过 该 消息 ,B 无 法 证 明 A 确实 发 了 该 消息 。 另 外 B 也 可 以 伪造 一 个 不 同 的 消息 ， 
但 声称 是 从 A 收 到 的 。 也 就 是 说 ,虽然 保证 了 信息 的 完整 性 ,但 无 法 保证 信息 的 抗 否 认 性 。 

在 现实 生活 中 ,这 种 情况 同样 存在 ,所 以 在 人 们 的 工作 和 生活 中 ,许多 事物 的 处 理 需 要 
当事者 签名 。 例 如 ,商业 合同 ,政府 部 门 的 文件 ,财务 的 凭证 等 都 需要 当事人 的 签名 。 签 名 
起 到 确认 、 核 准 . 生 效 和 负责 等 多 种 作用 。 
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实际 上 ,签名 是 证 明 当 事 者 身份 和 数据 真实 性 的 一 种 信息 ,具有 保证 信息 的 真实 性 和 完 
整 性 的 功能 。 在 传统 的 以 书面 文件 为 基础 的 事务 处 理 中 ,采用 书面 签名 的 方式 ,如 手印 、 签 
字 、 印 章 等 。 书 面 签名 得 到 司法 部 门 的 支持 和 承认 ,具有 一 定 的 法 律 效 力 。 在 以 计算 机 文件 
为 基础 的 现代 事务 处 理 中 ,应 采用 电子 形式 的 签名 , 即 数字 签名 (digital signature) , 它 是 一 
种 防止 源 点 或 终点 抵赖 的 鉴别 技术 ,用 于 防范 通信 双方 的 欺骗 。 

数字 签名 利用 公 钥 密码 体制 进行 ,其 安全 性 取决 于 密码 体制 的 安全 程度 。 

在 中 国 , 数 字 签名 是 具 法 律 效力 的 ,正在 被 普遍 使 用 。2000 年 ,中 华人 民 共 和 国 的 新 
《合同 法 ) 首 次 确认 了 电子 合同 .电子 签名 的 法 律 效力 。2005 年 4 月 1 日 起 ,中 国 首部 (电子 
签名 法 》 正 式 实施 。 


621 数字 签名 原理 


1. 数字 签名 须 满足 的 要 求 


在 传统 文件 中 ,手写 签名 长 期 以 来 被 用 做 用 户 身份 的 证 明 ,或 表明 签名 者 同意 文件 的 内 
容 。 实 际 上 ,签名 体现 了 以 下 几 个 方面 的 保证 : 

(1) 签名 是 可 信 的 。 签 名 使 文件 的 接收 者 相信 签名 者 是 慎重 地 在 文件 上 签名 的 。 

(2) 签名 是 不 可 伪造 的 。 签 名 证 明 是 签字 者 而 不 是 其 他 的 人 在 文件 上 签字 。 

(3) 签名 不 可 重用 。 签 名 是 文件 的 一 部 分 ,不 可 能 将 签名 移动 到 不 同 的 文件 上 。 

(4) 签名 后 的 文件 是 不 可 变 的 。 在 文件 签名 以 后 ,文件 就 不 能 改变 。 

(5) 签名 是 不 可 抵赖 的 。 签 名 和 文件 是 不 可 分 离 的 ,签名 者 事后 不 能 声称 他 没有 签 过 
这 个 文件 。 

手印 .签名 .印章 等 传统 的 书面 签名 基本 上 满足 以 上 条 件 ,所 以 得 到 司法 部 门 的 支持 。 
因为 一 个 人 不 能 彻底 伪装 自己 的 笔迹 ,同时 也 不 能 逼真 地 模仿 其 他 人 的 笔迹 ,而 且 公 安 部 门 
有 专业 的 机 构 进行 笔迹 鉴别 。 公 章 的 刻 制 和 使 用 都 受到 法 律 的 保护 和 限制 , 刻 制 完全 相同 
的 两 枚 印章 是 做 不 到 的 ,因为 雕刻 属于 金石 艺术 ,每 个 雕刻 师 都 有 自己 的 艺术 风格 ,和 笔迹 
一 样 , 要 彻底 伪装 自己 的 风格 和 逼真 模仿 别人 的 风格 是 不 可 能 的 。 人 的 指纹 具有 非常 稳定 
的 特性 ,终身 不 变 , 据 专家 计算 ,大 约 50 亿 人 才 会 有 一 例 相同 的 。 

而 在 计算 机 上 进行 数字 签名 并 使 这 些 保证 能 够 继续 有 效 则 还 存在 一 些 问 题 。 有 人 可 能 
会 考虑 到 将 自己 手写 的 签名 扫描 到 计算 机 中 ,在 需要 签名 的 地 方 将 其 粘贴 上 去 。 这 种 方法 
实际 是 存在 问题 的 。 

首先 ,计算 机 文件 易于 复制 ,即使 某 人 的 签名 难以 伪造 ,但 是 将 有 效 的 签名 从 一 个 文件 
剪辑 和 粘贴 到 另 一 个 文件 是 很 容易 的 。 这 就 使 这 种 签名 失去 了 意义 。 

其 次 ,文件 在 签名 后 也 易于 修改 ,并 且 不 会 留 下 任何 修改 的 痕迹 。 

所 以 ,简单 扫描 手写 签名 是 不 能 满足 要 求 的 。 目 前 ,人 们 对 数字 签名 的 要 求 是 : 要 保证 
能 够 验证 作者 及 其 签名 的 日 期 时 间 ; 必须 能 够 认证 签名 时 刻 的 内 容 ; 签名 必须 能 够 由 第 三 
方 验证 ,以 解决 争议 。 

根据 这 些 特征 ,为 了 方便 使 用 ,更 进一步 的 要 求 如 下 : 

(1) 依赖 性 : 签名 的 产生 必须 依赖 于 被 签名 的 信息 。 
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(2) 唯一 性 : 签名 必须 使 用 某 些 对 发 送 者 来 说 是 唯一 的 信息 ,以 防止 双方 的 伪造 与 否认 。 

(3) 可 验 性 : 必须 相对 容易 识别 和 验证 该 数字 签名 。 

(4) 抗 伪造 : 伪造 该 数字 签名 在 计算 上 是 不 可 行 的 ,根据 一 个 已 有 的 数字 签名 构造 消 
息 是 不 可 行 的 ; 对 一 个 给 定 消息 伪造 数字 签名 是 不 可 行 的 。 

(5) 可 用 性 : 在 存储 器 中 保存 一 个 数字 签名 副本 是 现实 可 行 的 。 

人 们 利用 公 钥 密码 体制 产生 数字 签名 。 用 户 用 自己 的 私 钥 对 原始 数据 的 散 列 值 进行 加 
密 , 所 得 的 数据 即 为 数字 签名 。 信 息 接收 者 使 用 信息 发 送 者 的 公 钥 对 附 在 原始 信息 后 的 数 
字 签 名 进行 解密 后 获得 散 列 值 , 并 通过 与 自己 收 到 的 原始 数据 产生 的 散 列 值 对 照 , 便 可 确认 
原始 信息 是 否 被 算 改 。 这 样 就 保证 了 消息 来 源 的 真实 性 和 数据 传输 的 完整 性 。 

实际 上 在 前 一 章 讲 述 散 列 函数 时 ,读者 已 经 了 解 了 这 种 方法 , 它 在 本 章 被 称 作 数字 签名 。 

有 几 种 公 钥 算法 都 能 用 做 数字 签名 ,这些 公 钥 算法 的 特点 是 不 仅 用 公 钥 加 密 的 消息 可 
以 用 私 钥 解密 ,而 且 反 过 来 用 私 钥 加 密 的 消息 也 可 以 用 公 钥 解密 。 


2. 签名 方法 


从 协议 上 区 分 ,数字 签名 可 以 分 为 直接 数字 签名 方法 和 仲裁 数字 签名 方法 。 

1) 直接 数字 签名 

先 来 看 直接 数字 签名 方法 ,其 基本 协议 非常 简单 ; 

(1) A 用 她 的 私 钥 对 文件 加 密 , 从 而 对 文件 签名 。 

(2) A 将 签名 后 的 文件 传 给 B。 

(3) B 用 A 的 公 钥 解密 文件 ,如 果 能 够 顺利 地 解 出 明文 , 则 表示 签名 验证 成 功 。 

一 方面 ,保证 了 文件 在 签名 后 不 会 被 修改 ; 另 一 方面 ,A 不 可 否认 自己 对 这 份 文件 的 义 
务 和 责任 。 

在 实际 过 程 中 ,这 种 做 法 的 效率 太 低 了 。 假 设 A 传送 的 文件 非常 庞大 ,那么 对 整 份 文 
件 进行 加 密 就 太 浪费 时 间 和 资源 了 。 并 且 有 时 候 文件 内 容 并 不 需要 保密 ,例如 政府 的 公告 
等 。 所 以 ,数字 签名 协议 常常 与 散 列 函 数 一 起 使 用 。A 并 不 对 整个 文件 签名 ,而 是 只 对 文 
dat 数字 签名 协议 原理 如 图 6-12 所 示 。 
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图 6-12 数字 签名 协议 原理 
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在 下 面 的 协议 中 , 散 列 函 数 和 数字 签名 算法 是 事先 协商 好 的 : 

(1) A 产生 文件 的 散 列 值 。 

(2) A 用 她 的 私 钥 对 散 列 值 加 密 , 以 此 表示 对 文件 的 签名 。 

(3) A 将 文件 和 签名 送 给 B。 

(4) B 用 人 A 发送 的 文件 产生 文件 的 散 列 值 ,同时 用 A 的 公 钥 对 签名 的 散 列 值 解密 。 如 
果 签 名 的 散 列 值 与 自己 产生 的 散 列 值 匹配 , 则 签名 是 有 效 的 。 

采用 这 种 方式 , 既 保 证 了 信息 的 完整 性 ,又 保证 了 信息 的 抗 否认 性 ,如 果 还 需要 保证 信 
息 的 保密 性 , 则 可 以 加 入 对 称 或 者 非 对 称 的 加 密 方 式 。 

由 于 两 个 不 同 的 文件 具有 相同 的 160 位 散 列 值 的 概率 为 1/22% ,所 以 在 这 个 协议 中 使 
用 散 列 函数 的 签名 与 使 用 文件 的 签名 是 一 样 安全 的 。 

以 上 的 协议 属于 直接 数字 签名 ,这 种 签名 方法 只 牵涉 通信 方 。 它 假定 接收 方 知道 发 送 
方 的 公 钥 。 签 名 通过 使 用 发 送 方 的 私 钥 加 密 来 产生 。 但 这 种 体制 有 个 共同 的 弱点 : 方案 的 
有 效 性 依赖 于 发 送 方 私 钥 的 安全 性 。 

如 果 发 送 方 随后 想 否 认 发 送 过 某 个 签名 消息 ,他 可 以 声称 用 来 签名 的 私 钥 丢 失 或 被 次 
用 ,并 有 人 伪造 了 他 的 签名 。 通 常 需要 采用 与 私 钥 安 全 性 相关 的 行政 管理 控制 手段 制止 这 
种 情况 ,但 威胁 依然 存在 。 

改进 的 方式 : 如 可 以 要 求 被 签名 的 信息 包含 一 个 时 间 戳 (日 期 与 时 间 )。 但 同样 存在 问 
题 : A 的 私 钥 确实 在 时 间 人 被 窃取 ,敌手 可 以 伪造 A 的 签名 及 早 于 或 等 于 时 间 T 的 时 
间 截 。 

为 了 解决 直接 数字 签名 中 存在 的 问题 ,引入 了 仲裁 者 。 

2) 仲裁 数字 签名 

从 发 送 方 A 到 接收 方 B 的 签名 消息 首先 送 到 仲裁 者 S,S 对 消息 及 其 签名 进行 一 系列 
测试 ,以 检查 其 来 源 和 内 容 , 然 后 将 消息 加 上 日 期 并 与 已 被 仲裁 者 验证 通过 的 指示 一 起 发 
给 B。 

仲裁 者 在 这 一 类 签名 模式 中 扮演 敏感 和 关键 的 角色 。 所 有 的 参与 者 必须 极 大 地 相信 这 
一 仲裁 机 制 工作 正常 。 

下 面 讨论 三 种 仲裁 数字 签名 的 实现 方法 ,约定 X 是 发 送 方 ,Y 是 接收 方 ,A 是 仲裁 者 。 

方法 一 : 

(1) X>A: MEkewLIDx | HOM J]; 

(2) A>Y: Ery [LIDx | M | Er LIDx | HOM)J | TJ 
其 中 ,E 是 单 钥 加 密 算法 ; Kxs 和 Kay 是 A 分 别 与 X 和 YY 的 共享 密 钥 ; M 是 消息 ; 工 是 时 
间 惟 ; IDx 是 X 的 身份 ; HC(MD) 是 M 的 Hash 值 。 

在 (1) 中 ,X 以 Ex, [LIDx | HCM)J 作 为 自己 对 M 的 签名 ,将 M 及 签名 发 往 A。 

在 (2) 中 A 将 从 X 收 到 的 内 容 和 IDx、T 一 起 加 密 后 发 往 Y, 其 中 的 荆 用 于 向 Y 表示 所 
发 的 消息 不 是 旧 消 息 的 重 放 。Y 对 收 到 的 内 容 解 密 后 ,将 解密 结果 存储 起 来 以 备 出 现 争议 
时 使 用 。 

如 果 出 现 争议 ,Y 可 声称 自己 收 到 的 M 的 确 来 自 X, 并 将 Eksv[LIDx | M | Ex LIDx | 
有 (MD]] 发 给 A, 由 A 仲裁 ,A 用 Kay 解 密 后 ,再 用 KxA 对 Er [LIDx | HCM)] 解 密 ,并 对 
月 (MD) 加 以 验证 ,从 而 验证 了 XX 的 签名 。 
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显然 ,此 方法 不 提供 对 消息 M 的 保密 。 不 过 稍 做 修改 即 可 提供 保密 功能 ,见方 法 二 。 

户 法 三 2 

(1) X>A: IDx | ExkswLM] | Er, LIDx | HCEr,, (CM))]; 

(2) As Er,y [IDx | Er [MJ Er, [IDx | H(Exr,, (M)J I T], 

其 中 ,Kxy 是 X 和 YY 的 共享 密 钥 。 这 里 , Ex、[IDx | H(Ex,, (MD))] 就 是 X 对 M 的 数字 
签名 。 

显然 ,这 个 方案 提供 了 对 M 的 保密 性 。 但 是 ,和 前 一 方案 相同 ,仲裁 者 可 和 发 送 方 共 谋 
否认 发 送 方 曾 发 过 的 消息 ,也 可 和 接收 方 共 谋 产 生发 送 方 的 签名 。 为 了 解决 这 个 问题 ,可 以 
采用 方法 三 。 

方法 三 : 

(1) XA.: IDx | Esk, LIDx | Epx, [LEs.LM]]]; 

(2) A 一 Y: Esx, [LIDx | Epry LEsry [MJJ | TJ 
其 中 ,SKx 是 X 的 私 钥 ,PKy 是 Y 的 公 钥 。 

在 (1) 中 ,X 用 自己 的 私 钥 SKx 和 YY 的 公 钥 PKv 对 消息 加 密 后 作为 对 M 的 签名 ,以 这 
种 方式 使 得 任何 第 三 方 (包括 A) 都 不 能 得 到 M 的 明文 消息 。 

A 收 到 X 发 来 的 内 容 后 ,用 X 的 公 钥 可 对 Esk、[IDx ‖ Epx,LEsx、 LM]]] 解 密 , 并 将 解密 
得 到 的 IDx 与 收 到 的 IDx 加 以 比较 ,从 而 可 确信 这 一 消息 是 来 自 于 X 的 ( 因 只 有 X 有 SKx)。 

在 (2) 中 ,A 将 X 的 身份 IDx 和 X 对 M 的 签名 加 上 一 个 时 间 戳 后 ,再 用 自己 的 私 钥 加 
密 后 发 往 Y。 

与 前 两 种 方法 相 比 ,第 三 种 方法 有 许多 优点 。 首 先 ,在 协议 执行 以 前 ,各 方 都 不 必 有 共 
享 的 信息 ,从 而 可 防止 共 谋 ; 其 次 ,只 要 仲裁 者 的 私 钥 不 被 泄露 ,任何 人 包括 发 送 方 都 不 能 
发 送 重 放 的 消息 ; 最 后 ,对 任何 第 三 方 ( 包 括 A) 来 说 ,X 发 往 Y 的 消息 都 是 保密 的 。 当 然 ， 
功能 越 齐全 ,付出 的 通信 成 本 也 越 高 。 


622 数字 签名 算法 


数字 签名 的 算法 很 多 ,应 用 最 为 广泛 的 三 种 是 RSA 签名 .DSS 签名 和 基于 ECC 密码 
体制 的 ECDSA 数字 签名 。 


1. RSA 数字 签名 


假定 RSA 的 公 钥 密码 系统 已 经 建立 ,车 用 户 A 要 对 某 报 文 (或 其 他 文件 或 数据 分 
组 ) 实 现 数字 签名 ,并 发 送 给 B(B 可 能 是 用 户 , 也 可 能 是 仲裁 中 心 ), 则 数字 签名 算法 
如 下 : 

1) 签名 的 实现 

用 户 A 使 用 自己 的 私 钥 SKA 对 报 文 进行 解密 运算 形成 了 签名 ,然后 将 报 文 和 签名 一 
起 发 送出 去 。 也 就 是 签名 SA 一 DOM,SKA) 一 (M )mod n。 

不 过 一 般 使 用 的 方式 是 对 明文 的 散 列 值 进行 加 密 : Sa 二 D(H(MD ,SKa)。 

实际 上 是 用 私 钥 对 明文 或 者 散 列 值 进行 解密 运算 的 过 程 。 注 意 ,这 里 说 的 “解密 运算 ”， 
并 不 是 指 将 密 文 转换 为 明文 的 过 程 ,而 应 该 理解 为 一 种 广义 的 转换 运算 。 
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2) 签名 的 验证 

接收 方 B 将 接收 到 的 签名 用 发 送 方 A 的 公 钥 进行 加 密 运 算得 到 下 (SA, PKA) 一 
(Sa)*mod 2 一 M。 同 样 , 这 里 的 “加 密 运 算 ” 也 应 该 理解 为 一 种 广义 的 转换 运算 。 如 果 是 对 
散 列 值 进行 加 密 , 则 EC(Ss,PK。)= 二 (Sa)*mod n 二 HH(M)。 并 且 用 相同 的 散 列 函 数 处 理 接 收 
到 的 报 文 得 到 新 的 散 列 码 ,车 这 个 散 列 码 和 解密 的 签名 相 匹 配 , 则 认为 签名 是 有 效 的 ,否则 
认为 报 文 被 算 改 或 受到 攻击 者 欺骗 。 这 是 因为 只 有 发 送 方 知道 自己 的 私 钥 , 因 此 只 有 发 送 
方才 能 产生 有 效 的 签名 。RSA 的 签名 方案 如 图 6-13 所 示 。 














比较 








Esk,\[H(OM)] 


图 6-13 RSA 签名 方案 


2. DSS 数字 签名 


美国 国家 标准 技术 研究 所 于 1994 年 颁布 了 联邦 信息 处 理 标准 FIPS 186 , 称 为 数字 签 
名 标准 (DSS)。DSS 给 出 了 一 种 新 的 数字 签名 方法 , 即 数字 签名 算法 DSA ,签名 的 对 象 是 
安全 散 列 算法 SHA 对 消息 M 计算 出 来 的 散 列 值 。DSS 最 初 提出 于 1991 年 ,1993 年 根据 
公众 对 于 其 安全 性 的 反馈 意见 进行 了 修改 ,1996 年 又 稍 做 修改 。2000 年 发 布 了 该 标准 的 扩 
充 版 , 即 FIPS 186-2 。 

和 RSA 不 同 的 是 ,DSS 使 用 的 是 只 提供 数字 签名 的 算法 。 不 用 于 加 密 或 者 密 钥 分 配 。 

在 RSA 方法 中 , 散 列 函 数 的 输入 是 要 签名 的 消息 ,输出 是 定 长 的 散 列 值 ,用 发 送 方 的 私 
钥 对 该 散 列 值 加 密 形成 签名 ,然后 发 送 消息 和 签名 。 接 收 方 用 发 送 方 的 公 钥 对 签名 解密 以 
验证 签名 。 

DSS 方法 也 使 用 散 列 函数 , 它 产 生 的 散 列 值 和 为 此 次 签名 而 产生 的 随机 数 & 作为 签名 
函数 的 输入 ,签名 函数 依赖 于 发 送 方 的 私 钥 Kg, 和 一 组 参数 ,这 些 参数 为 一 些 通信 伙伴 所 共 
有 ,可 以 认为 这 组 参数 构成 全 局 公 钥 Kus。 对 于 不 同 的 用 户 ,这 些 附加 参数 可 以 不 同 。 在 实 
际 应 用 中 ,更 可 能 的 情况 是 将 全 局 公 钥 与 每 个 用 户 的 公 钥 分 开 使 用 。 

签名 由 两 部 分 组 成 ,标记 为 和。 

接收 方 对 接收 到 的 消息 产生 散 列 值 ,这 个 散 列 值 和 签名 一 起 作为 验证 函数 的 输入 ,验证 
函数 依赖 于 全 局 公 钥 和 发 送 方 公 钥 , 若 验 证 函数 的 输出 等 于 签名 中 的 -~ 成分, 则 签名 是 有 效 
的 。 签 名 函数 保证 只 有 拥有 私 钥 的 发 送 方才 能 产生 有 效 签 名 。 

下 面 讨论 数字 签名 算法 DSA。DSA 建立 在 求 离散 对 数 的 困难 性 之 上 ,DSA 算法 的 具 
体 签名 过 程 如 下 : 

1) 密 钥 的 产生 

(1) 产生 全 局 公 钥 (p,q,g)。 

选取 素数 p, 其 中 2"! 二 p 二 2: ,512 志 L1024, 且 工 为 64 的 倍数 , 即 工 的 位 长 在 512 
和 1024 之 间 且 按 64 位 递增 。 

选取 g,(p 一 1) 的 素 因子 ,其 中 2” 过 g 过 2” ,即位 长 为 160 位 。 


118 信息 安全 原理 及 应 用 (第 3 版 ) 





选取 g,g 二 hmod p, 其 中 是 满足 1 二 p 二 (p 一 1) 并 且 h% 00 mod 加 >1 的 任何 
整数 。 

这 三 个 公开 参数 归 一 组 用 户 所 共有 。 

(2) 产生 用 户 私 钥 z。 

选 定 以 上 的 参数 后 ,用 户 选 择 私 钥 。 

选择 私 钥 zx, 随机 或 伪 随 机 整数 , 且 0 二 zg。 

(3) 产生 用 户 公 钥 y。 

计算 y,y 二 g” mod p。 

(4) 与 用 户 每 条 消息 相关 的 秘密 值 。 

选择 &, 随 机 或 伪 随机 整数 , 且 0 二 kg。 

2) 签名 过 程 

计算 签名 : s= 有 (HCM),k,zx,r,g)=(k-!1(H(M)+zr)) mod gq; 

r=fs(k,p.q,g)=(g* mod p) mod g。 

签名 = 二 (r,s)。 

3) 验证 签名 

计算 w=fs(s ,gqg)=(s)-! mod g; 

ul=(H(M)Xw) mod g; 

u2=(rw) mod g; 

v=fu(y,qrgr H(M) ,ws ) = ((g"y*) mod p) mod gq; 

如 果 v= 二 x , 则 签名 是 有 效 的 。 

M 一 接收 到 的 Mr、s。 

DSS 的 数字 签名 过 程 如 图 6-14 所 示 。 





M 




















6-14 DSS 签名 方案 


其 中 ,H 是 散 列 算法 ; PK6 是 全 局 公 钥 ,包括 p、q、g 三 个 参数 ; SKA 是 签名 方 的 私 钥 zx; 
是 随机 数 ; Sig 是 签名 算法 ; PKA 是 签名 方 的 公 钥 ; Ver 是 验证 算法 。 

由 于 求 离散 对 数 的 困难 性 ,攻击 者 从 7 恢复 出 & 或 从 ;恢复 出 x 都 是 不 可 行 的 。 

注意 : 产生 签名 过 程 中 需要 进行 复杂 的 指数 运算 g* mod p, 但 由 于 它 不 依赖 于 被 签名 
的 消息 ,因此 可 以 预先 计算 。 实 际 上 ,用 户 甚至 可 以 根据 需要 预先 计算 许多 个 用 于 签名 的 r。 
唯一 负责 的 是 确定 乘法 逆 元 人 。 


3. 其 他 数字 签名 
另外 还 有 一 些 其 他 特殊 的 签名 : 
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(1) 不 可 和 否认 签名 : 对 于 不 可 否认 签名 ,在 得 不 到 签名 者 配合 的 情况 下 其 他 人 不 能 正 
确 地 对 签名 进行 验证 ,从 而 可 以 防止 非法 复制 和 扩散 签名 者 所 签署 的 文件 。 这 对 保护 软件 
等 电子 出 版 物 的 知识 产权 有 积极 意义 。 只 有 授权 用 户 才 能 验证 签名 并 得 到 软件 开发 者 的 服 
务 ,而 非法 复制 者 不 能 验证 签名 ,从 而 无 法 获取 服务 。 

(2) 盲 签名 : 需 某 个 人 对 某 数据 签名 ,而 又 不 能 让 他 知道 数据 的 内 容 。 在 无 记名 投票 
选举 和 数字 化 货币 系统 中 往往 需要 这 种 讶 签名 ,因此 讶 签名 在 电子 商务 和 电子 政务 系统 中 
有 着 广泛 的 应 用 前 景 。 它 和 普通 签名 相 比 有 两 个 特点 ,一 个 是 签名 者 不 知道 所 签署 的 数据 
内 容 , 另 一 个 是 在 签名 被 接收 者 泄露 后 ,签名 者 不 能 追踪 签名 。 


根据 近代 密码 学 观点 , 密 钥 体制 的 安全 应 当 只 取决 于 密 钥 的 安全 ,而 不 取决 于 对 密码 算 
法 的 保密 。 因 此 密 钥 管理 是 至 关 重 要 的 。 

密 钥 管理 历来 就 是 一 个 很 复杂 的 问题 ,在 计算 机 网 络 环境 中 ,由 于 用 户 和 结 点 很 多 , 因 
此 需要 使 用 大 量 的 密 钥 ,而 且 需 要 经 常 更 换 , 其 产生 存储、 分 配 都 是 极 大 的 问题 , 既 包 含 一 
系列 的 技术 问题 ,又 包含 许多 管理 问题 和 人 员 素 质问 题 ,需要 一 套 妥 善 的 管理 方法 。 每 一 个 
环节 都 必须 谨慎 ,否则 会 带 来 意 想不到 的 损失 。 历 史 表 明 , 从 密 钥 管理 的 途径 窃 取 秘 密 比 单 
纯 的 破译 所 花 的 代价 要 小 得 多 。 

假如 分 析 人 员 能 从 粗心 的 密 钥 管理 程序 中 很 容易 找到 密 钥 ,他 何必 为 破译 而 操心 烦恼 
呢 ? 如 果 花 一 千 元 能 贿赂 一 个 密 钥 管理 人 员 ,何必 花 一 千 万 去 制造 一 台 破 译 机 器 呢 ? 另外 
还 可 以 偷 到 密 钥 ,也 可 以 绑架 知道 密 钥 的 人 。 总 之 ,在 人 身上 找到 漏洞 比 在 密码 体制 中 找到 
漏洞 更 容易 。 

所 以 ,人 们 必须 像 保 护 他 们 的 数据 那样 保护 他 们 的 密 钥 。 如 果 一 个 密 钥 不 经 常 更 改 , 那 
么 分 析 者 有 可 能 在 很 小 的 代价 下 获得 大 量 的 有 价值 的 数据 。 

从 技术 上 讲 , 密 钥 管 理 包 括 密 钥 的 产生 存储、 分 配 、 组 织 、 使 用 ,更换 和 销毁 等 一 系列 技 
术 问 题 。 每 个 密 钥 都 有 其 生命 周期 , 密 钥 管 理 就 是 对 整个 生命 周期 的 各 个 阶段 进行 管理 。 
密 钥 体制 不 同 ,其 管理 方法 也 不 同 。 

密 钥 管理 是 数据 加 密 技术 中 的 重要 一 环 , 其 目的 是 确保 密 钥 的 安全 性 (真实 性 和 有 效 
性 ) 。 一 个 好 的 密 钥 管理 系统 应 该 做 到 : 

(1) 密 钥 难以 被 窃取 。 

(2) 在 一 定 条 件 下 窃取 了 密 钥 也 没有 用 , 密 钥 有 使 用 范围 和 时 间 的 限制 。 

(3) 密 钥 的 分 配 和 更 换 过 程 对 用 户 透 明 , 用 户 不 一 定 要 亲自 掌管 密 钥 。 

另外 需要 说 明 的 是 ,对 称 密码 体制 的 密 钥 管理 和 非 对 称 密码 体制 的 密 钥 管 理 是 完全 不 
同 的 。 


71 对 称 密码 体制 的 密 钥 管理 


对 称 密码 体制 的 加 密 钥 等 于 解密 钥 , 因 此 密 钥 的 秘密 性 、 真 实 性 和 完整 性 必须 同时 保 
护 。 这 就 带 来 了 密 钥 管理 方面 的 复杂 性 。 对 于 大 型 网 络 系统 ,由 于 所 需要 的 密 钥 种 类 和 数 
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量 都 很 多 ,因此 密 钥 管理 尤其 困难 。 著 名 的 DES 的 颁布 和 广泛 应 用 ,促使 人 们 对 传统 密码 
管理 理论 和 技术 进行 研究 ,于 是 ANSI 颁布 了 ANSI X9. 17 金融 机 构 密 钥 管理 标准 ,为 
DES、AES 等 商业 密码 的 应 用 提供 了 密 钥 管理 指导 。 


711 密 钥 分 级 


密 钥 分 为 初级 密 钥 、 二 级 密 钥 和 主 密 钥 。ANSI X9. 17 支持 这 种 三 级 密 钥 组 织 。 
1. 初级 密 钥 


初级 密 钥 是 真正 用 于 加 解密 数据 的 密 钥 ,根据 其 使 用 范围 不 同 其 称呼 有 所 差别 。 例 如 ， 
用 于 通信 保密 的 初级 密 钥 为 初级 通信 密 钥 ,用 于 文件 保密 的 称 为 初级 文件 密 钥 ,用 于 通信 会 
话 保密 的 称 为 初级 会 话 密 钥 。 

初级 密 钥 可 由 系统 应 实体 请 求 通过 硬件 或 软件 的 方式 产生 ,也 可 以 由 用 户 自 己 提供 。 
初级 通信 密 钥 和 初级 会 话 密 钥 原 则 上 采用 一 个 密 钥 只 使 用 一 次 的 “一 次 一 密 ” 方 式 。 也 就 是 
说 ,初级 通信 和 密 钥 和 初级 会 话 密 钥 仅 在 两 个 应 用 实体 之 间 交 换 数据 的 时 候 才 存 在 ,生存 周期 
很 短 。 初 级 文件 密 钥 与 其 所 保护 的 文件 有 一 样 长 的 生存 周期 。 

初级 密 钥 在 系统 中 不 能 以 明文 形式 保存 ,必须 用 更 高 级 的 密 钥 进行 加 密 保存 。 


2. 二 级 密 钥 


二 级 密 钥 用 于 保护 初级 密 钥 。 当 二 级 密 钥 用 于 保护 初级 通信 密 钥 时 称 为 二 级 通信 密 
钥 , 用 于 保护 初级 文件 密 钥 时 称 为 二 级 文件 密 钥 。 

二 级 密 钥 可 由 系统 应 专职 密 钥 安装 人 员 的 请 求 , 由 系统 自己 产生 ,也 可 由 专职 密 钥 安 装 
人 员 提 供 。 二 级 密 钥 的 生存 周期 一 般 较 长 。 同 样 ,二 级 密 钥 也 不 能 以 明文 形式 保存 在 系统 
中 ,必须 接受 更 高 级 密 钥 的 保护 。 





3. 主 密 钥 


主 密 钥 是 密 钥 管理 方案 中 的 最 高 级 密 钥 , 用 于 对 二 级 密 钥 进行 保护 。 
主 密 钥 由 密 钥 专职 人 员 随机 产生 ,并 妥善 安装 。 主 密 钥 的 生存 周期 很 长 。 


712 密 钥 生成 


算法 的 安全 性 依赖 于 密 钥 ,如 果 采 用 一 个 弱 的 密 钥 生成 方法 ,那么 整个 体制 是 弱 的 。 因 
为 能 破译 密 钥 生成 算法 ,所 以 攻击 者 就 不 需要 试图 去 破译 加 密 算 法 了 。 

好 密 钥 指 那些 由 自动 处 理 设备 生成 的 随机 的 二 进 制 数 。 如 果 密 钥 为 64 位 长 ,产生 每 一 
个 可 能 的 64 位 密 钥 必 须 具 有 相同 的 可 能 性 。 这 些 密 钥 要 么 从 可 靠 的 随机 源 中 产生 (例如 抛 
硬币 或 噪音 发 生 器 ) ,要 么 从 安全 的 伪 随 机 比特 发 生 器 中 产生 。 同 时 要 有 好 的 加 密 算 法 和 密 
钥 管 理 程序 。 

许多 加 密 算法 有 弱 的 密 钥 。 例 如 .DES 在 每 256 个 密 钥 中 会 有 16 个 弱 密 钥 。 

对 公 钥 密码 体制 来 说 ,生成 密 钥 更 加 困难 ,因为 密 钥 必须 满足 某 些 数学 特征 (必须 是 素数 
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的 ,是 二 次 剩余 的 等 ) ,而 且 从 密 钥 管理 的 观点 看 , 密 钥 发 生 器 的 随机 种 子 也 必须 是 随机 的 。 

对 密 钥 的 一 个 基本 要 求 就 是 具有 良好 的 随机 性 ,这 主要 包括 长 周期 性 、 非 线性 ` 统 计 意 
义 上 的 等 概率 性 以 及 不 可 预测 性 等 。 一 个 真正 的 随机 序列 是 不 可 再 现 的 ,任何 人 都 不 能 再 
次 产生 它 。 高 效 地 产生 高 质量 的 真 随机 序列 不 是 一 件 容易 的 事情 。 因 此 ,有 实际 意义 的 是 针 
对 不 同 的 情况 采用 不 同 的 随机 序列 。 例 如 ,对 于 主 密 钥 , 则 应 当 采 用 高 质量 的 真 随机 序列 。 而 
对 于 初级 密 钥 ,并 不 需要 一 定 采用 真 随机 序列 ,采用 足够 随机 的 伪 随 机 序列 就 可 以 了 。 


1. 主 密 钥 的 产生 


主 密 钥 是 密码 系统 中 的 最 高 级 密 钥 ,用 它 对 其 他 密 钥 进行 保护 ,而 且 生 存 周 期 长 ,因此 
它 的 产生 要 格外 小 心 。 

主 密 钥 应 当 是 高 质量 的 真 随机 序列 。 真 随机 数 应 该 从 自然 界 的 随机 现象 中 提取 产生 ， 
一 般 原 理 是 将 自然 界 的 随机 模拟 信号 经 适当 处 理 , 再 数字 化 后 得 到 。 理 论 上 随机 源 的 选择 
具有 一 定 的 自由 度 , 可 以 根据 不 同 的 应 用 选择 不 同 的 随机 源 。 但 适合 用 做 密 钥 的 并 不 多 ,有 
些 自然 随机 现象 产生 的 随机 序列 并 不 好 。 因 此 ,有 时 候 采 用 真 随机 和 伪 随 机 相 结 合 的 方法 
来 产生 高 质量 的 随机 数 作为 主 密 钥 。 

真 随机 数 的 产生 常 采用 物理 噪声 源 的 方法 。 主 要 有 基于 力学 的 噪声 源 和 基于 电子 学 的 
噪声 源 。 基 于 力学 的 噪声 源 常 利用 硬币 和 般 子 抛 撤 落地 的 随机 性 产生 密 钥 ,但 效率 低 , 已 经 
很 少 使 用 。 基 于 电子 学 噪声 源 的 密 钥 产生 技术 是 目前 最 主要 的 密 钥 产生 技术 。 例 如 利用 电 
子 方法 对 噪声 器 件 ( 如 MOS 晶体 管 、 稳 压 二 极 管 . 电 阻 等 ) 的 热 噪 声 进行 放大 、 滤 波 、 采 样 、 
量化 后 产生 出 随机 密 钥 ,并 制 成 随机 数 产生 器 芯片 。 


2. 二 级 密 钥 的 产生 


可 以 像 产生 主 密 钥 那样 产生 真正 随机 的 二 级 密 钥 。 特 别 是 利用 真 随机 数 产生 器 芯片 产 
生 二 级 密 钥 也 是 比较 方便 的 。 

另外 使 用 主 密 钥 和 一 个 强 的 密码 算法 产生 二 级 密 钥 也 是 可 以 的 。 一 个 强 的 密码 算法 可 
以 用 做 一 个 具有 良好 随机 性 的 随机 数 产生 器 。 


3. 初级 密 钥 的 产生 


为 了 安全 和 简便 ,通常 把 随机 数 视 为 受 高 级 密 钥 ( 主 密 钥 或 二 级 密 钥 ) 加 密 后 的 初级 密 
钥 。 因 此 ,随机 数 被 解密 后 得 到 初级 密 钥 。 


713 密 钥 的 存储 与 备份 


密 钥 的 安全 存储 是 密 钥 管 理 中 的 一 个 十 分 重要 的 环节 ,而 且 也 是 比较 困难 的 一 个 环节 。 
所 谓 密 钥 的 安全 存储 就 是 要 确保 密 钥 在 存储 状态 下 的 秘密 性 、 真 实 性 和 完整 性 。 安 全 可 靠 
的 存储 介质 是 密 钥 安 全 存储 的 物质 条 件 ,安全 严密 的 访问 控制 机 制 是 密 钥 安全 存储 的 管理 
条 件 。 只 有 当 这 两 个 条 件 同 时 具备 时 .才能 确保 密 钥 的 安全 存储 。 

密 钥 安全 存储 的 原则 是 不 允许 密 钥 以 明文 形式 出 现在 密 钥 管理 设备 之 外 。 

为 了 进一步 确保 密 钥 和 加 密 数 据 的 安全 ,对 密 钥 进行 备份 是 必要 的 。 目 的 是 一 旦 密 钥 
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遭 到 毁坏 ,可 利用 备份 的 密 钥 恢复 原来 的 密 钥 或 被 加 密 的 数据 ,避免 造成 损失 。 密 钥 备 份 本 
质 上 也 是 一 种 存储 。 

密 钥 的 存储 形态 有 明文 形态 、 密 文 形态 、 分 量 形态 三 种 。 

明文 形态 即 密 钥 以 明文 形式 存储 。 

密 文 形态 即 密 钥 被 加 密 后 存储 。 

分 量 形态 指 密 钥 以 分 量 的 形式 存储 , 密 钥 分 量 不 是 密 钥 本 身 ,而 是 用 于 产生 密 钥 的 部 分 
参数 ,只 有 在 所 有 密 钥 分 量 共 同 作用 下 才能 产生 出 真正 的 密 钥 ,而 且 只 知道 其 中 一 个 或 部 分 
分 量 ,无 法 求 出 其 他 分 量 。“ 秘 密 分 拆 ? 是 实现 密 钥 以 分 量 形态 存储 的 重要 方法 。 

例如 ,将 密 钥 K 分 拆 为 4 个 分 量 ,可 以 首先 选择 3 个 和 一 样 长 的 随机 比特 串 R、S、T， 
然后 用 这 三 个 随机 串 和 K 异 或 得 到 U 一 K 名 RS@T, 这 里 RS、T、U 就 是 密 钥 K 的 4 个 
分 量 , 可 将 它们 在 不 同 的 物理 位 置 存储 ,而 原 密 钥 K 则 可 以 销毁 。 显 然 , 这 4 个 分 量 本 身 并 
不 代表 什么 ,即便 攻击 者 获取 了 其 中 的 3 个 分 量 ,也 不 能 恢复 出 原 密 钥 K。 当 需要 用 到 密 钥 
K 时 , 则 可 以 通过 K 二 UR 名 S@OT 来 恢复 。 


1. 密 钥 存储 


不 同 级 别 的 密 钥 应 采用 不 同 的 存储 形态 , 密 钥 的 不 同形 态 应 当 采 用 不 同 的 存储 方式 。 

1) 主 密 钥 的 存储 

主 密 钥 是 最 高 级 别 的 密 钥 ,主要 用 于 对 二 级 密 钥 和 初级 密 钥 进行 保护 。 主 密 钥 的 安全 
性 要 求 最 高 ,而且 生存 周期 很 长 ,需要 采用 最 安全 的 方法 存储 。 

由 于 主 密 钥 是 最 高 级 别 , 所 以 只 能 用 明文 形式 存储 ,否则 就 不 能 工作 。 这 就 要 求 存储 器 必 
须 是 高 度 安 全 的 ,不 但 物理 上 安全 ,而 且 逻 辑 上 安全 。 通 常 是 将 其 存储 在 专用 密码 装置 中 。 

2) 二 级 密 钥 的 存储 

二 级 密 钥 可 以 以 明文 形式 存储 也 可 以 用 密 文 形式 存储 。 如 果 以 明文 形式 存储 , 则 和 主 
密 钥 一 样 ,必须 存放 在 专用 密 钥 装 置 中 。 如 果 以 密 文 形式 存储 , 则 对 存储 器 要 求 降低 。 通 常 
采用 以 高 级 密 钥 加 密 的 形式 存储 二 级 密 钥 。 这 样 可 以 减少 明文 形态 密 钥 的 数量 ,便于 管理 。 

3) 初级 密 钥 的 存储 

初级 文件 密 钥 和 初级 会 话 密 钥 是 两 种 不 同性 质 的 初级 密 钥 ,因此 存储 方法 也 有 所 不 同 。 

由 于 初级 文件 密 钥 的 生命 周期 与 受 保护 的 文件 的 生命 周期 一 样 长 ,有 时 会 很 长 ,所 以 初 
级 文件 密 钥 需要 妥善 地 存储 。 初 级 文件 密 钥 一 般 采 用 密 文 形 式 存 储 , 通 常 采用 以 二 级 文件 
密 钥 加 密 的 形式 存储 初级 文件 密 钥 。 

由 于 初级 会 话 密 钥 按 “ 一 次 一 密 ” 的 方式 工作 ,使 用 时 动态 产生 ,使 用 完毕 后 立即 销毁 ， 
生命 周期 很 短 。 因 此 初级 会 话 密 钥 的 存储 空间 是 工作 存储 器 ,应 当 确 保 工 作 存储 器 的 安全 。 


2. 密 钥 备 份 





密 钥 的 备份 是 确保 密 钥 和 数据 安全 一 种 有 备 无 患 的 方式 。 备 份 的 方式 有 多 种 ,除了 用 
户 自己 备份 以 外 ,也 可 以 交 由 第 三 方 进行 备份 ,还 可 以 以 密 钥 分 量 形态 委托 密 钥 托 管 机 构 备 
份 。 有 了 备份 ,在 需要 时 可 以 恢复 密 钥 ,从 而 避免 损失 。 

不 管 以 什么 方式 进行 备份 , 密 钥 的 备份 应 该 遵循 以 下 原则 : 

(1) 密 钥 的 备份 应 当 是 异 设备 备份 ,甚至 是 异地 备份 。 如 果 是 同 设备 , 当 密 钥 存储 设备 
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出 现 故障 时 ,备份 的 密 钥 也 将 毁坏 ,因此 不 能 起 到 备份 的 作用 。 异 地 备份 可 以 避免 因 场 地 被 
攻击 而 使 密 钥 和 备份 密 钥 同时 被 损 。 
(2) 备份 的 密 钥 应 当 受 到 与 存储 密 钥 一 样 的 保护 ,包括 物理 的 安全 保护 和 逻辑 的 安全 保护 。 
(3) 为 了 减少 明文 形态 的 密 钥 数量 ,一般 采用 高 级 密 钥 保护 低级 密 钥 的 方式 来 进行 备份 。 
(4) 对 于 高 级 密 钥 ,不 能 以 密 文 形态 备份 。 为 了 进一步 增强 安全 ,可 采用 多 个 密 钥 分 量 
的 形态 进行 备份 。 每 一 个 密 钥 分 量 应 分 别 备份 到 不 同 的 设备 或 不 同 的 地 点 ,并 且 分 别 指定 
专人 负责 。 
(5) 密 钥 的 备份 应 当 方 便 恢复 , 密 钥 的 恢复 应 当 经 过 授权 而 且 要 遵循 安全 的 规章 制度 。 
(6) 密 钥 的 备份 和 恢复 都 要 记录 日 志 , 并 进行 审计 。 


714 密 钥 分 配 


密 钥 的 分 配 指 产生 密 钥 并 将 密 钥 传送 给 使 用 者 的 过 程 。 密 钥 的 传送 分 集中 传送 和 分 散 
传送 两 类 。 集 中 传送 指 将 密 钥 整体 传送 ,这 时 需要 使 用 主 密 钥 来 保护 会 话 密 钥 的 传递 ,并 通 
过 安全 渠道 传递 主 密 钥 。 分 散 传送 指 将 密 钥 分 解 成 多 个 部 分 ,用 秘密 分 享 的 方法 传递 ,只 要 
有 部 分 到 达 就 可 以 恢复 ,这 种 方法 适用 于 在 不 安全 的 信道 中 传输 。 


1. 主 密 钥 的 分 配 


主 密 钥 的 安全 性 要 求 最 高 ,而 生存 周期 很 长 ,需要 采取 最 安全 的 分 配方 法 。 一 般 采 用 人 
工分 配 主 密 钥 ,由 专职 密 钥 分 配 人 员 分 配 并 由 专职 安装 人 员 妥 善 安装 。 


2. 二 级 密 钥 的 分 配 


在 主 密 钥 分 配 并 安装 后 ,二 级 密 钥 的 分 配 就 容易 解决 了 。 

一 种 方法 是 像 分 配 主 密 钥 那样 ,由 专职 密 钥 分 配 人 员 分 配 并 由 专职 安装 人 员 安 装 。 虽 
然 这 种 人 工分 配 的 方法 很 安全 ,但 效率 低 , 不 适应 计算 机 网 络 环境 的 需求 。 

另 一 种 方法 是 直接 利用 已 经 分 配 安装 的 主 密 钥 对 二 级 密 钥 进行 加 密 保 护 , 并 利用 计算 
机 网 络 自动 传输 分 配 。 在 发 送 端 用 主 密 钥 对 二 级 密 钥 进行 加 密 , 把 密 文 传送 给 对 方 , 对 方 用 
主 密 钥 解密 得 到 二 级 密 钥 ,并 妥善 安装 存储 ,如 图 7-1 所 示 。 其 中 ,Kxc 是 要 分 配 的 二 级 密 
钥 ,Kw 是 已 分 配 并 安装 的 主 密 钥 。 
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图 7-1 二 级 密 钥 的 分 配 
3. 初级 密 钥 的 分 配 


由 于 初级 密 钥 按 “一 次 一 密 ” 的 方法 工作 ,生命 周期 很 短 , 而 对 其 产生 和 分 配 的 速度 却 要 
求 很 高 。 为 了 安全 和 方便 ,通常 总 是 把 一 个 随机 数 直 接 视 为 一 个 初级 密 钥 被 高 级 密 钥 ( 主 密 
钥 或 者 二 级 密 钥 , 通 常 为 二 级 密 钥 ) 加 密 之 后 的 结果 ,这 样 初级 密 钥 一 产生 就 是 密 文 形式 。 
注意 ,这 个 随机 数 要 在 被 解密 之 后 才 是 真正 的 初级 密 钥 。 
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因此 初级 密 钥 的 分 配 就 变 得 很 简单 ,发 送 方 直接 把 随机 数 ( 密 文 形 式 的 初级 密 钥 ) 通 过 
计算 机 网 络 传 给 对 方 ,接收 端 用 高 级 密 钥 解密 获取 初级 密 钥 ,分 配 过程 如 图 7-2 所 示 。 其 
中 ,RN 是 随机 数 ,Kxc 是 二 级 密 钥 ,Kc 是 初级 密 钥 。 
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7-2 初级 密 钥 的 分 配 


实际 在 传送 过 程 中 ,还 要 考虑 到 传送 内 容 可 能 会 被 截获 伪造, 算 改 ,所 以 要 构建 恰当 的 
协议 防止 这 些 攻击 。 


4. 利用 公 钥 密码 体制 分 配 


利用 公 钥 密码 体制 分 配对 称 密码 的 会 话 密 钥 ,再 利用 对 称 密码 的 会 话 密 钥 对 会 话 进行 
加 密 保护 ,将 公 钥 密码 的 方便 性 和 传统 密码 的 快速 性 结合 ,是 一 种 较 好 的 密 钥 分 配方 法 。 这 
种 方法 已 得 到 国际 标准 化 组 织 的 采纳 ,并 且 在 许多 国家 得 到 使 用 。 

当 A 要 和 B 通信 时 ,A 产生 一 对 公 钥 - 私 钥 对 ,并 向 B 发 送 产生 的 公 铀 和 A 的 身份 。B 
收 到 A 的 消息 后 ,产生 会 话 密 钥 Ks, 用 产生 的 公 钥 加 密 后 发 送 给 A。A 用 私 钥 解 密 得 到 会 
话 密 钥 Ks。 此 时 ,A 和 B 可 以 用 会 话 密 钥 Ks 采用 对 称 密码 通信 。 之 后 A 销毁 此 次 产生 的 
公 钥 - 私 钥 对 ,B 销毁 从 A 得 到 的 公 钥 。 

这 个 过 程 如 图 7-3 所 示 。 

(1) A 向 BB 发 送 自己 产生 的 公 钥 和 A 的 身份 。 

(2) B 收 到 消息 后 ,产生 会 话 密 钥 Ks, 用 公 钥 加 密 后 传送 给 A。 

(3) A 用 私 钥 解 密 后 得 到 Ks。 

这 个 方法 虽然 简单 ,但 是 容易 受到 敌手 的 攻击 ,如 有 人 可 以 冒充 A 产生 密 钥 ; 也 有 人 可 
能 冒充 B 产生 密 钥 ; 也 有 可 能 消息 在 发 送 过 程 中 受到 算 改 。 

例如 , 当 A 向 BB 发 送 自己 产生 的 公 和 钥 和 A 的 身份 时 ,攻击 者 C 在 中 途 截获 了 这 些 信 
息 ,C 对 信息 进行 算 改 ,把 C 的 公 钥 和 A 的 身份 发 送 给 B。 当 B 产生 会 话 密 钥 Ks, 用 公 
(实际 上 是 C 的 公 钥 ) 加 密 后 传送 给 A 时 ,C 在 中 途 截获 这 些 信息 ,并 用 自己 的 私 钥 解密 后 
获取 会 话 密 钥 Kxs ,然后 用 A 的 公 钥 加 密 Ks 发 送 给 A。 这 样 C 就 成 功 获取 了 A 和 B 的 会 
话 密 钥 ,可 以 破解 他 们 之 间 的 通信 了 。 

所 以 ,对 这 种 密 钥 分 配方 案 做 进一步 优化 ,可 得 到 具有 保密 性 和 认证 的 分 配方 法 ,如 
图 7-4 所 示 。 


© Epma[NIIIDA] 
用 户 A @ 用 户 B 
器 一 一 ~ 咏 
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@ EpxrslEsxr, [Ks]] 
图 7-3 利用 公 钥 密码 体制 分 配 会 话 密 钥 图 7-4 具有 保密 和 认证 功能 的 密 钥 分 配 
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假定 A 和 B 的 公 钥 已 经 共享 : 

(1) A 用 B 的 公 钥 加 密 A 的 身份 和 一 个 一 次 性 随机 数 Ni 后 发 送 给 B。 

(2) B 解 密 得 到 Ni ,并 用 A 的 公 钥 加 密 Ni 和 另外 一 个 随机 数 Ns 发 送 给 A。 

(3) A 用 B 的 公 钥 加 密 N, 后 发 送 给 B。 

(4) A 选择 一 个 会 话 密 钥 Ks, 用 A 的 私 钥 加 密 后 再 用 B 的 公 钥 加 密 , 发 送 给 B,B 用 A 
的 公 钥 和 B 的 私 钥 解密 得 Ks。 

在 这 个 方法 中 ,需要 假定 A 和 B 的 公 钥 已 经 共享 ,而 如 何 实现 公 钥 的 共享 其 实 也 是 一 
个 复杂 的 问题 ,将 在 下 一 小 节 公 钥 密 码 体 制 的 密 钥 分 配 中 详细 讲述 。 


715 密 钥 的 更 新 


密 钥 的 更 新 是 密 钥 管理 中 非常 麻烦 的 一 个 环节 ,必须 周密 计划 ,谨慎 实施 。 当 密 钥 的 使 
用 期 限 已 到 ,或 怀疑 密 钥 泄露 时 , 密 钥 必须 更 新 。 密 钥 更 新 是 密码 技术 的 一 个 基本 原则 。 密 
钥 更 新 越 频 繁 就 越 安全 ,但 同时 也 越 麻烦 。 


1. 主 密 钥 的 更 新 


主 密 钥 是 最 高 级 密 钥 , 它 保护 二 级 密 钥 和 初级 密 钥 。 主 密 钥 的 生命 周期 最 长 ,因此 由 于 
使 用 期 限 到 期 而 更 换 主 密 钥 的 时 间 间 隔 很 长 。 更 新 时 必须 重新 安装 ,安全 要 求 与 初次 安装 
一 样 。 值 得 注意 的 是 , 主 密 钥 的 更 新 将 要 求 受 其 保护 的 二 级 密 钥 和 初级 密 钥 都 要 更 新 。 因 
此 主 密 钥 的 更 新 是 很 麻烦 的 。 


2. 二 级 密 钥 的 更 新 


当 二 级 密 钥 使 用 期 限 到 期 或 因为 泄露 需要 更 换 时 ,要 重新 产生 二 级 密 钥 ,并 且 妥 善 安 
装 。 同 样 也 要 求 受 其 保护 的 初级 密 钥 更 新 。 


3. 初级 密 钥 的 更 新 


初级 会 话 密 钥 采 用 "一 次 一 密 ” 的 方式 工作 ,所 以 更 新 是 非常 容易 的 。 
初级 文件 密 钥 更 新 要 麻烦 得 多 ,将 原来 的 密 文 文件 解密 并 且 用 新 的 初级 文件 密 钥 重新 
加 密 。 


716 密 钥 的 终止 和 销毁 


密 钥 的 终止 和 销毁 同样 是 密 钥 管理 中 的 重要 环节 ,但 容易 被 忽视 。 

当 密 钥 使 用 期 限 到 期 时 ,应 该 立即 终止 使 用 该 密 钥 ,并 且 更 换 新 密 钥 。 终 止 使 用 的 密 钥 
并 不 马上 销毁 ,而 需要 保留 一 段 时 间 。 这 是 为 了 确保 受 其 保护 的 其 他 密 钥 和 数据 得 以 妥善 
处 理 。 只 要 密 钥 尚未 销毁 ,就 应 该 妥善 保护 。 

密 钥 销毁 要 彻底 清除 密 钥 的 一 切 存储 形态 和 相关 信息 ,使 重复 这 一 密 钥 变 得 不 可 能 。 
这 里 既 包 括 处 于 产生 、 分 配 、 存 储 和 工作 状态 的 密 钥 及 相关 信息 ,也 包括 处 于 备份 状态 的 密 
钥 和 相关 信息 。 
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值得 注意 的 是 ,要 采用 受 善 的 清除 存储 器 的 方法 ,对 于 磁 存储 器 ,简单 的 删除 、 清 零 或 写 
1 都 是 不 安全 的 。 


72 公 钥 密码 体制 的 密 钥 管理 


由 于 公 钥 密码 体制 与 对 称 密码 体制 是 性 质 不 同 的 两 种 密码 体制 ,所 以 它们 的 密 钥 产生 
和 管理 也 完全 不 同 。 

对 称 密 码 体制 的 密 钥 本 质 上 是 一 种 随机 数 或 者 随机 序列 ,而 公 钥 密码 体制 本 质 上 是 一 
种 单 向 陷 门 函数 ,建立 在 某 一 数学 难题 之 上 。 不 同 公 钥 密码 体制 所 依据 的 数学 难题 不 同 , 因 
此 其 密 钥 产 生 的 具体 要 求 也 不 同 。 

所 以 , 公 钥 密码 体制 的 密 钥 管理 和 对 称 密码 体制 的 密 钥 管理 有 着 本 质 的 区 别 。 





721 公 钥 的 分 配 


前 面 讲述 的 对 称 密 钥 密码 体制 中 加 密 解 密 只 有 一 个 密 钥 ,因此 在 密 钥 分 配 中 必须 保证 
其 保密 性 真实 性 和 完整 性 。 而 公 钥 密码 体制 有 两 个 密 钥 ,在 分 配 的 时 候 要 确保 私 钥 的 秘密 
性 真实 性 和 完整 性 ,对 于 公 钥 , 则 保证 其 真实 性 和 完整 性 , 绝 不 允许 攻击 者 替换 或 者 每 改 用 
户 的 公 钥 。 

公 钥 的 分 配方 式 从 简单 到 复杂 有 这 样 几 种 : 

(1) 公开 发 布 : 用 户 将 自己 的 公 钥 发 给 所 有 其 他 用 户 或 向 某 一 团体 广播 。 例如 ,将 自 
己 的 公 钥 发 布 在 BBS 或 邮件 列表 上 。 这 种 方法 方便 快捷 ,每 个 人 都 可 以 很 方便 地 发 布 自己 
的 公 钥 。 但 缺点 也 很 明显 ,容易 被 人 冒充 或 算 改 。 所 以 这 种 方法 一 般 为 简单 的 个 人 应 用 ,或 
在 一 些小 型 网 络 中 使 用 。 

(2) 公 钥 动态 目录 表 : 建立 一 个 公用 的 公 钥 动态 目录 表 , 表 的 建立 和 维护 以 及 公 钥 的 
分 布 由 某 个 公 钥 管理 机 构 承 担 ,每 个 用 户 都 可 靠 的 知道 管理 机 构 的 公 钥 。 但 在 这 个 方法 中 ， 
每 一 用 户 想 要 与 他 人 通信 都 要 求助 于 公 钥 管理 机 构 ,因而 可 能 形成 瓶颈 ,而 且 公 钥 目 录 表 也 
容易 被 算 改 。 所 以 这 个 方法 只 适合 用 于 小 型 网 络 , 如 企业 局 域 网 中 。 

(3) 数字 证 书 : 分 配 公 钥 的 最 安全 有 效 的 方法 是 采用 数字 证 书 , 它 由 证 书 管理 机 构 CA 
为 用 户 建立 ,实际 上 是 一 个 数据 结构 。 其 中 的 数据 项 有 该 用 户 的 公 钥 .用户 的 身份 和 时 间 惟 
等 。 在 下 一 小 节 中 详细 介绍 。 


722 数字 证 书 


公 钥 需要 保证 完整 性 和 真实 性 , 像 电话 号 码 那样 直接 公开 的 方式 并 不 能 防止 别人 复 改 、 
冒充 、 伪 造 。 在 前 面 讲 到 保证 完整 性 和 真实 性 的 方法 之 一 就 是 数字 签名 。 假 设 信任 一 个 实 
体 X, 所 有 的 公 钥 都 由 实体 X 验证 后 签名 存 人 某 个 数据 库 ,实体 X 把 自己 的 公 钥 公开 。 则 
每 取出 一 个 公 钥 时 用 户 都 验证 实体 X 的 签名 是 否 完整 , 从 而 可 以 发 现 对 公 钥 的 算 改 。 进 一 
步 ,如 果 将 用 户 的 标识 符 和 用 户 的 公 钥 联系 在 一 起 签名 , 则 可 以 防止 有 人 冒充 或 者 伪造 


公 钥 。 
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由 此 可 见 , 采 用 数字 签名 技术 可 以 确保 公 钥 的 安全 分 配 。 这 里 经 过 实体 X 签名 的 一 组 
信息 的 集合 被 称 为 证 书 , 而 可 信 的 实体 X 被 称 为 签证 机 构 (certificate authority,CA) 。 

证 书 是 一 个 数据 结构 ,是 一 种 由 一 个 可 信任 的 权威 机 构 签署 的 信息 集合 。 证 书 分 很 多 
种 类 型 ,例如 X. 509 公 钥 证 书 、 简 单 PKI 证 书 .PGP 证 书 、 属 性 证 书 等 。 

这 些 证 书 具 有 各 自 不 同 的 格式 。 有 时 候 ,一 种 类 型 的 证 书 可 以 被 定义 为 好 几 种 不 同 的 
版 本 ,每 一 种 版 本 可 能 以 好 几 种 不 同 的 方式 来 具体 实现 。 例 如 ,安全 电子 交易 (SET) 证 书 就 
是 X. 509 版 本 3 的 公 钥 证 书 结合 专门 为 SET 交易 特别 扩展 而 成 的 。 

证 书 、 公 钥 证 书 、 数 字 证 书 这 几 个 概念 用 得 
比较 混乱 。 在 许多 场合 下 ,证 书 和 公 钥 证 书 都 是 
X. 509 公 钥 证 书 的 同义词 。 数 字 证 书 这 个 词 有 时 主体 身份 信息 | 。 CA 名 称 
候 专门 来 强调 电子 形式 的 证 书 。 这 个 词 在 某 些 主体 的 公 钥 。” | 其 他 信息 
环境 下 也 会 引起 混乱 ,因为 各 种 不 同类 型 的 证 书 
都 是 “数字 ”的 。 因 此 ,除非 这 个 词 被 专门 解释 说 
明 , 它 不 具有 任何 更 详细 的 专 有 意义 。 着 

一 个 简单 的 数字 证 书 示意 如 图 7-5 所 示 。 

公 钥 证 书包 含 持 证 主体 的 标识 、 公 钥 等 相关 信息 ,并 经 过 签证 机 构 施 加 数字 签名 保护 。 
任何 知道 签证 机 构 公 钥 的 人 都 可 以 验证 签名 的 真 伪 , 从 而 确保 公 钥 的 真实 性 、 确 保 公 钥 与 持 
证 主体 之 间 的 严格 绑 定 。 

日 常生 活 中 有 许多 使 用 证 书 的 例子 ,例如 汽车 的 驾驶 证 。 驾 驶 证 ( 公 钥 证 书 ) 确 认 了 轰 
驶 员 的 身份 (用 户 ), 表 示 其 开车 的 能 力 ( 公 钥 ), 驾 驶 证 上 有 公安 局 的 印章 (CA 对 证 书 的 签 
名 ) ,任何 人 只 要 信任 公安 局 (CA) ,就 可 以 信任 驾驶 证 ( 公 钥 证 书 ) 。 

有 了 公 钥 证 书 系统 后 ,如 果 某 个 用 户 需 要 任何 其 他 已 向 CA 注册 的 用 户 的 公 钥 ,可 以 向 
持 证 人 (或 证 书 机 构 ) 直 接 索 取 其 公 钥 证 书 , 并 用 CA 的 公 钥 验证 CA 的 签名 ,从 而 获得 可 信 
的 公 钥 。 

由 于 公 钥 证 书 不 需要 保密 ,可 以 在 Internet 上 分 发 ,从 而 实现 公 钥 的 安全 分 配 。 有 了 签 
名 ,攻击 者 就 无 法 伪造 合法 的 公 钥 证 书 。 因 此 ,只 要 CA 是 可 信 的 , 公 钥 证 书 也 是 可 信 的 。 
其 中 CA 公 钥 的 获取 也 是 通过 证 书 方式 进行 的 ,为 此 CA 也 为 自己 颁发 公 钥 证 书 。 

使 用 公 钥 证 书 的 主要 好 处 是 ,用 户 只 要 获取 了 CA 的 公 钥 ,就 可 以 安全 获取 其 他 用 户 的 
公 钥 。 因 此 公 钥 证 书 为 公 钥 的 分 发 商定 了 基础 ,成 为 公 钥 密码 在 大 型 网 络 系统 中 应 用 的 关 
键 技术 。 电 子 商 务 .电子 政务 等 大 型 网 络 应 用 系统 都 采用 了 公 钥 证 书 技术 。 
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723 X509 证 书 


目前 应 用 最 广泛 的 证 书 格式 是 国际 电信 联盟 (Internet Telecommunication Union， 
ITU) 提 出 的 X. 509 版 本 3 格式 。X. 509 是 由 ITU 制定 的 数字 证 书 标准 。 为 了 提供 公用 网 
络 用 户 目录 信息 服务 ,ITU 于 1988 年 制定 了 X. 500 系列 标准 。 其 中 X. 500 和 X. 509 是 安 
全 认证 系统 的 核心 ,X. 500 定义 了 一 种 区 别 命名 规则 ,以 命名 树 来 确保 用 户 名 称 的 唯一 性 ; 
X. 509 则 为 X. 500 用 户 名 称 提供 了 通信 实体 鉴别 机 制 , 并 规定 了 实体 鉴别 过 程 中 广泛 适用 
的 证 书 语法 和 数据 接口 ,X. 509 称 之 为 证 书 。 
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最 初 的 X. 509 版 本 公布 于 1988 年 ,版 本 3 的 建议 稿 1994 年 公布 ,在 1995 年 获得 批准 。 
本 质 上 ,X. 509 证 书 由 用 户 公 钥 与 用 户 标识 符 组 成 ,此 外 还 包括 版 本 号 、 证 书 序列 号 .CA 标 
识 符 、 签 名 算法 标识 签发 者 名 称 、 证 书 有 效 期 等 。 

X. 509 版 本 3 的 证 书 结构 如 图 7-6 所 示 。 





X. 509 证 书 





版 本 号 
证 书 序列 号 
签名 算法 标识 符 
颁发 者 名 称 
有 效 期 
主体 名 称 
主体 公 钥 信息 (算法 标识 , 公 钥 值 ) 
颁发 者 唯一 标识 符 (可 选 ) 
主体 者 唯一 标识 符 (可 选 ) 
扩展 项 (可 选 ) 
颁发 者 的 签名 
7-6 XX. 509 证 书 结构 


(1) 版 本 号 : 识别 用 于 该 证 书 的 X. 509 标准 的 版 本 ,这 可 以 影响 证 书 中 所 能 指定 的 信 
息 。 迄 今 为 止 ,已 定义 的 版 本 有 三 个 。 

(2) 证 书 序列 号 : 发 放 证 书 的 实体 有 责任 为 证 书 指定 序列 号 ,以 使 其 区 别 于 该 实体 发 
放 的 其 他 证 书 。 此 信息 用 途 很 多 。 例 如 ,如 果 某 一 证 书 被 撤销 ,其 序列 号 将 放 到 证 书 撤销 清 
单 (CRL) 中 。 

(3) 签名 算法 标识 符 : 用 于 识别 CA 签 写 证 书 时 所 用 的 算法 。 

(4) 颁发 者 名 称 : 签 写 证 书 实体 的 可 识别 名 。 它 通常 为 一 个 CA。 使 用 该 证 书 意味 着 
信任 签 写 该 证 书 的 实体 。 

注意 : 有 些 情况 下 签 写 证 书 的 实体 还 要 签 写 自己 的 证 书 ,如 根 或 顶层 CA 会 给 自己 签 
发 证 书 。 

(5) 有 效 期 : 每 个 证 书 均 只 能 在 一 个 有 限 的 时 间 段 内 有 效 。 该 有 效 期 以 起 始 日 期 和 时 
间 及 终止 日 期 和 时 间 表 示 , 可 以 短 至 几 秒 或 长 至 一 世纪 。 所 选 有 效 期 取决 于 许多 因素 ,如 用 
于 签 写 证 书 的 私 钥 的 使 用 频率 及 愿 为 证 书 支付 的 金钱 等 。 它 是 在 没有 危及 相关 私 钥 的 条 件 
下 ,实体 可 以 依赖 公 钥 的 预计 时 间 。 

(6) 主体 名 称 : 证 书 可 以 识别 其 公 钥 的 实体 名 。 此 名 称 使 用 X. 500 标准 ,因此 在 
Internet 中 应 是 唯一 的 。 此 字段 必须 是 非 空 的 ,除非 在 扩展 项 中 使 用 了 其 他 的 名 字形 式 。 

(7) 主体 公 钥 信息 : 这 是 被 命名 实体 的 公 钥 ,同时 包括 指定 该 密 钥 所 属 公 钥 密 码 系统 
的 算法 标识 符 及 所 有 相关 的 密 钥 参数 。 

(8) 颁发 者 唯一 标识 符 ( 可 选 ): 证 书 颁发 者 唯一 标识 符 , 属 于 可 选 字段 。 该 字段 在 实 
际 中 很 少 使 用 ,并 且 不 被 RFC2459 推荐 使 用 。 

(9) 主体 唯一 标识 符 ( 可 选 ) : 证 书 拥 有 者 唯一 标识 符 , 属 于 可 选 字段 ,用 于 不 同 的 实体 
重用 这 一 证 书 时 标识 证 书 的 主体 ,该 字段 在 实际 中 很 少 使 用 .并 且 不 被 RFC2459 推荐 使 用 。 

(10) 扩展 项 (可 选 ): 在 颁布 了 X.509 版 本 2 后 ,人 们 认为 还 有 一 些 不 足 之 处 ,于 是 提 
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出 一 些 扩展 项 附 在 版 本 3 证 书 格式 的 后 面 。 这 些 扩展 项 包括 密 钥 和 策略 信息 、 主 体 和 颁发 
者 属性 以 及 证 书 路 径 限 制 。 

(11) 颁发 者 的 签名 : 覆盖 了 证 书 的 所 有 其 他 字段 ,以 及 这 些 字段 被 CA 私 钥 加 密 后 的 
Hash 值 签名 算法 标识 等 。 





724 公 钥 基础 设施 


公 角 证书、 证 书 管理 机 构 ,证书 管 理 系统 .围绕 证 书 服务 的 各 种 软 硬 件 设 备 以 及 相应 的 
法 律 基础 共同 组 成 公 钥 基础 设施 (public key infrastructure,PKI) 。 公 钥 基 础 设施 提供 一 系 
列 支 持 公 钥 密 码 应 用 (加 密 、 解 密 、 签 名 与 验证 ) 的 基础 服务 。 本 质 上 ,PKI 是 一 种 标准 的 公 
钥 密码 的 密 钥 管理 平台 。 

PKI 采 用 证 书 进行 公 钥 管理 ,通过 第 三 方 的 可 信任 机 构 (CA), 把 用 户 的 公 钥 和 用 户 的 
其 他 标识 信息 捆绑 在 一 起 ,其 中 包括 用 户 名 和 电子 邮件 地 址 等 信息 ,以 在 Internet 网 上 验证 
用 户 的 身份 。 

因此 ,从 大 的 方面 来 说 ,所 有 提供 公 钥 加 密 和 数字 签名 服务 的 系统 ,都 可 归结 为 PKI 系 
统 的 一 部 分 ,PKI 的 主要 目的 是 通过 自动 管理 密 钥 和 证 书 ,为 用 户 建 立 起 一 个 安全 的 网 络 运 
行 环境 ,使 用 户 可 以 在 多 种 应 用 环境 下 方便 地 使 用 加 密 和 数字 签名 技术 ,从 而 保证 网 上 数据 
的 机 密 性 、 完 整 性 .有效 性 。 

一 个 简单 的 PKI 构成 如 图 7-7 所 示 。 


证 书 颁发 机 构 


eh 
证 书库 





密 钥 服务 器 










注册 认证 机 构 和 户 


图 7-7 PKI 的 基本 构成 


简单 的 PKI 系统 包括 证 书 机 构 CA、 注 册 机 构 RA 和 相应 的 PKI 存储 库 。CA 用 于 签 
发 并 管理 证 书 ; RA 可 作为 CA 的 一 部 分 ,也 可 以 独立 ,其 功能 包括 个 人 身份 审核 .CRL( 证 
书 撤销 列表 ) 管 理 、 密 钥 产 生 和 密 钥 备 份 等 ; PKI 存储 库 包 括 LDAP 目录 服务 器 和 普通 数据 
库 , 用 于 对 用 户 申 请 、 证 书 、 密 钥 .CRL 和 日 志 等 信息 进行 存储 和 管理 ,并 提供 一 定 的 查询 
功能 。 

一 个 有 效 的 PKI 系统 必须 是 安全 的 和 透明 的 ,用 户 在 获得 加 密 和 数字 签名 服务 时 ,不 
需要 详细 地 了 解 PKI 的 内 部 运作 机 制 。 在 一 个 典型 完整 和 有 效 的 PKI 系统 应 该 包含 证 书 
的 创建 和 发 布 以 及 证 书 的 撤销 ,一 个 可 用 的 PKI 产品 还 必须 提供 相应 的 密 钥 管理 服务 , 包 
括 密 钥 的 备份 ,恢复 和 更 新 等 。 没 有 一 个 好 的 密 钥 管理 系统 ,将 极 大 影响 一 个 PKI 系统 的 
规模 、 可 伸缩 性 和 在 协同 网 络 中 的 运行 成 本 。 

美国 是 最 早 推动 PKI 建设 的 国家 . 早 在 1996 年 就 成 立 了 联邦 PKI 指导 委员 会 。 目 前 
美国 联邦 政府 、 州 政府 、 大 型 企业 都 建立 了 PKI。 比 较 有 代表 性 的 主要 有 VeriSign 和 
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Entrust。VeriSign 作为 RSA 的 控股 公司 ,借助 RSA 成 熟 的 安全 技术 ,提供 了 PKI 产品 ,为 
用 户 之 间 的 内 部 信息 交互 提供 安全 保障 。 另 外 ,VeriSign 也 提供 对 外 的 CA 服务 ,包括 证 书 
的 发 布 和 管理 等 功能 ,并 且 同 一 些 大 的 生产 商 ,如 Microsoft、Netscape 和 JavaSoft 等 ,保持 
了 伙伴 关系 ,以 在 Internet 上 提供 代码 签名 服务 。 

1998 年 中 国 的 电信 行业 也 建立 了 国内 第 一 个 行业 CA ,此 后 金融 \ 工 商 、 外 贸 、 海 关 和 一 
些 省 市 也 建立 了 自己 的 行业 CA 和 地 方 CA。PKI 已 经 成 为 世界 各 国 发 展 电 子 商务 .电子 政 
务 .电子 金融 的 基础 设施 。 


1. PKI 的 逻辑 结构 


PKI 作为 一 组 在 分 布 式 计算 系统 中 利用 公 钥 技术 和 X. 509 证 书 所 提供 的 安全 服务 , 企 
业 或 组 织 可 利用 相关 产品 建立 安全 域 , 并 在 其 中 发 布 密 钥 和 证 书 。 在 安全 域内 ,PKI 管理 加 
密 密 钥 和 证 书 的 发 布 , 并 提供 诸如 密 钥 管理 (包括 密 钥 更 新 , 密 钥 恢 复 和 密 钥 委 托 等 ) .证书 
管理 (包括 证 书 产生 和 撤销 等 ) 和 策略 管理 等 。 

PKI 产品 也 允许 一 个 组 织 通过 证 书 认证 的 方式 来 同 其 他 安全 域 建立 信任 关系 。 这 些 服 
务 和 信任 关系 不 能 局 限于 独立 的 网 络 之 内 ,而 应 建立 在 网 络 之 间 甚 至 Internet 之 上 ,为 电子 
商务 和 网 络 通信 提供 安全 保障 ,所 以 具有 互 操 作 性 的 结构 化 和 标准 化 技术 成 为 PKI 的 核心 。 

PKI 在 实际 应 用 上 是 一 套 软 硬 件 系 统 和 安全 策略 的 集合 ,提供 了 一 整套 安全 机 制 ,使 用 
户 在 不 知道 对 方 身份 或 分 布地 很 广 的 情况 下 ,以 证 书 为 基础 ,通过 一 系列 的 信任 关系 进行 通 
信和 电子 商务 交易 。 

一 个 典型 的 PKI 的 逻辑 结构 如 图 7-8 所 示 ,其 中 包括 PKI 策略 、 软 硬件 系统 、 证 书 机 构 
CA 注册 机 构 RA 证 书 发 布 系统 和 PKI 应 用 等 。 


PKI 应 用 












































图 7-8 PKI 的 逻辑 结构 


(1) PKI 安全 策略 : 建立 和 定义 了 一 个 组 织 信息 安全 方面 的 指导 方针 ,同时 也 定义 了 
密码 系统 使 用 的 处 理 方法 和 原则 。 

(2) 证 书 机 构 CA: 是 PKI 的 信任 基础 , 它 管理 公 钥 的 整个 生命 周期 ,其 作用 包括 发 放 
证 书 、 规 定 证 书 的 有 效 期 和 通过 发 布 证 书 撤销 列表 ,确保 必要 时 可 以 废除 证 书 。 

(3) 注册 机 构 RA: 提供 用 户 和 CA 之 间 的 一 个 接口 ,获取 并 认证 用 户 的 身份 ,向 CA 提 
出 证 书 请 求 。 它 主要 完成 收集 用 户 信息 和 确认 用 户 身 份 的 功能 。 这 里 的 用 户 , 是 指 将 要 向 
认证 中 心 CA 申请 数字 证 书 的 客户 ,可 以 是 个 人 ,也 可 以 是 集团 或 团体 、 某 政府 机 构 等 。 

(4) 证 书 发 布 系统 : 负责 证 书 的 发 放 , 如 可 以 通过 用 户 自 己 ,或 是 通过 目录 服务 。 目 录 
服务 器 可 以 是 一 个 组 织 中 现存 的 ,也 可 以 是 PKI 方案 中 提供 的 。 
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(5) 数字 证 书 : 在 PKI 中 ,最 重要 的 信息 就 是 数字 证 书 , 可 是 说 ,PKI 的 所 有 的 活动 都 
是 围绕 数字 证 书 进行 的 。 

(6) PKI 应 用 : PKI 的 应 用 范围 非常 广泛 ,并 且 在 不 断 发 展 之 中 ,可 以 说 只 要 需要 使 用 
到 公 钥 的 地 方 就 要 使 用 到 PKI, 如 安全 电子 邮件 、Web 安全 虚拟 专用 网 等 。 


2. 证 书 的 存放 


数字 证 书 作 为 一 种 电子 数据 格式 ,可 以 直接 从 网 上 下 载 ,也 可 以 通过 其 他 方式 存放 。 

可 以 使 用 IC 卡 存放 用 户 证 书 。 即 把 用 户 的 数字 证 书写 到 IC 卡 中 ,供用 户 随身 携带 。 
这 样 用 户 在 所 有 能 够 读 IC 卡 证 书 的 电子 商务 终端 上 都 可 以 享受 安全 电子 商务 服务 。 

用 户 证 书 也 可 以 直接 存放 在 磁盘 或 自己 的 终端 上 。 用 户 将 从 CA 申请 的 证 书 通过 下 载 
或 复制 到 磁盘 或 自己 的 PC 或 智能 终端 上 , 当 用 户 使 用 自己 的 终端 享受 电子 商务 服务 时 , 直 
接 从 终端 读 人 即 可 。 

另外 ,CRL 一 般 通过 网 上 下 载 的 方式 存储 在 用 户 端 。 


3. 证 书 的 申请 和 撤销 


证 书 的 申请 有 两 种 方式 ,一 是 在 线 申请 ; 另外 一 个 就 是 离线 申请 。 在 线 申 请 就 是 通过 
浏览 器 或 其 他 应 用 系统 通过 在 线 的 方式 来 申请 证 书 , 这 种 方式 一 般 用 于 申请 普通 用 户 证 书 
或 测试 证 书 。 离 线 方式 一 般 通 过 人 工 的 方式 直接 到 证 书 机 构 的 受理 点 去 办 理 证 书 申请 手 
续 , 通 过 审核 后 获取 证 书 , 这 种 方式 一 般 用 于 比较 重要 的 场合 ,如 服务 器 证 书 和 商家 证 书 等 。 

证 书 的 撤销 涉及 CRL 的 管理 。 用 户 向 特定 的 操作 员 ( 仅 负责 CRL 的 管理 ) 发 一 份 加 密 
签名 的 邮件 ,申明 自己 希望 撤销 证 书 。 操 作 员 打 开 邮 件 , 填 写 CRL 注册 表 , 并 且 进 行 数字 签 
名 ,提交 给 CA,CA 操作 员 验 证 注册 机 构 操 作 员 的 数字 签名 ,批准 用 户 撤销 证 书 , 并 且 更 新 
CRL, 然 后 CA 将 不 同 格式 的 CRL 输出 给 注册 机 构 ,公布 到 安全 服务 器 上 ,这 样 其 他 人 可 以 
通过 访问 服务 器 得 到 CRL 。 

在 一 个 PKI 中 ,特别 是 CA 中 ,信息 的 存储 是 一 个 非常 核心 的 问题 , 它 包括 两 个 方面 : 
一 是 CA 服务 器 利用 数据 库 来 备份 当前 密 钥 和 归档 过 期 密 钥 ,该 数据 库 需 高 度 安全 和 机 密 ， 
其 安全 等 级 同 CA 本 身 相同 ; 另外 一 个 就 是 目录 服务 器 ,用 于 分 发 证 书 和 CRL ,一 般 采用 
LDAP 目录 服务 器 。 














4. PKI 密 钥 管理 


密 钥 管理 是 PKI( 主 要 指 CA) 中 的 一 个 核心 问题 ,主要 指 密 钥 对 的 安全 管理 ,包括 密 钥 
产生 、 密 钥 备份 、 密 钥 恢 复 和 密 钥 更 新 等 。 

1) 密 钥 产生 

密 钥 对 的 产生 是 证 书 申请 过 程 中 重要 的 一 步 , 其 中 产生 的 私 钥 由 用 户 保留 , 公 钥 和 其 他 
信息 则 交 给 CA 中 心 进行 签名 ,从 而 产生 证 书 。 根 据 证 书 类 型 和 应 用 的 不 同 , 密 钥 对 的 产生 
也 有 不 同 的 形式 和 方法 。 对 普通 证 书 和 测试 证 书 ,一 般 由 浏览 器 或 固定 的 终端 应 用 来 产生 ， 
这 样 产生 的 密 钥 强度 较 小 ,不 适合 应 用 于 比较 重要 的 安全 网 络 交易 。 而 对 于 比较 重要 的 证 
书 , 如 商家 证 书 和 服务 器 证 书 等 , 密 钥 对 一 般 由 专用 应 用 程序 或 CA 中 心 直 接 产 生 , 这 样 产 
生 的 密 钥 强 度 大 ,适合 于 重要 的 应 用 场合 。 
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另外 ,根据 密 钥 的 应 用 不 同 , 也 可 能 会 有 不 同 的 产生 方式 ,如 签名 密 钥 可 能 在 客户 端 或 
RA 中 心 产生 ,而 加 密 密 钥 则 需要 在 CA 中 心 直 接 产生 。 

2) 密 钥 备份 和 恢复 

在 一 个 PKI 系 统 中 ,维护 密 钥 对 的 备份 至 关 重 要 ,如 果 没 有 这 种 措施 , 当 密 钥 丢失 后 ， 
将 意味 着 加 密 数 据 的 完全 丢失 ,对 于 一 些 重要 数据 ,这 将 是 灾难 性 的 。 所 以 , 密 钥 的 备份 和 
恢复 也 是 PKI 密 钥 管理 中 的 重要 一 环 。 

使 用 PKI 的 企业 和 组 织 必须 能 够 得 到 确认 : 即使 密 钥 丢失 , 受 密 钥 加 密 保 护 的 重要 信息 
也 必须 能 够 恢复 ,并 且 不 能 让 一 个 独立 的 个 人 完全 控制 最 重要 的 主 密 钥 ,否则 将 引起 严重 后 果 。 

企业 级 的 PKI 产 品 至 少 应 该 支持 用 于 加 密 的 安全 密 钥 的 存储 备份 和 恢复 。 密 钥 一 般 
用 密码 进行 保护 ,而 密码 丢失 则 是 管理 员 最 常见 的 安全 疏 漏 之 一 。 所 以 ,PKI 产品 应 该 能 够 
备份 密 钥 ,即使 密码 丢失 , 它 也 能 够 让 用 户 在 一 定 条 件 下 恢复 该 密 钥 ,并 设置 新 的 密码 。 

另外 ,使 用 PKI 的 企业 也 应 该 考虑 所 使 用 密 钥 的 生命 周期 ,包括 密 钥 和 证 书 的 有 效 时 
间 ,以 及 已 撤销 密 钥 和 证 书 的 维护 时 间 等 。 

3) 密 钥 更 新 

每 一 个 由 CA 颁发 的 证 书 都 会 有 有效 期 , 密 钥 对 生命 周期 的 长 短 由 签发 证 书 的 CA 中 
心 来 确定 ,各 CA 系统 的 证 书 有 效 期 限 有 所 不 同 ,一 般 大 约 为 2 一 3 年 。 

当 私 钥 被 泄露 或 证 书 的 有 效 期 快 到 时 ,应 该 更 新 私 钥 。 这 时 可 以 废除 证 书 , 产 生 新 的 密 
钥 对 ,或 者 申请 新 的 证 书 。 


5. 证 书 的 使 用 


在 实际 应 用 中 ,为 了 验证 信息 的 数字 签名 ,首先 必须 获取 信息 发 送 者 的 公 钥 证 书 , 以 及 
一 些 额 外 需要 的 证 书 ( 如 CA 证 书 等 ,用 于 验证 发 送 者 证 书 的 有 效 性 ) 。 

证 书 的 获取 可 以 有 多 种 方式 ,如 发 送 者 发 送 签名 信息 时 附加 发 送 自己 的 证 书 , 或 以 另外 
的 单独 信息 发 送 证 书 , 或 可 以 通过 访问 证 书 发 布 的 目录 服务 器 来 获得 ,或 直接 从 证 书 相关 的 
实体 处 获得 。 在 一 个 PKI 体系 中 ,可 以 采取 某 种 或 某 几 种 上 述 方式 获得 证 书 。 

在 电子 商务 系统 中 ,证书 的 持 有 者 可 以 是 个 人 用 户 、 企 事业 单位 .商家 、 银 行 等 。 无 论 是 
电子 商务 中 的 哪 一 方 ,在 使 用 证 书 验证 数据 时 ,都 遵循 同样 的 验证 流程 。 一 个 完整 的 验证 过 
程 有 以 下 几 步 ， 

(1) 验证 者 将 客户 端 发 来 的 数据 解密 。 

(2) 将 解密 后 的 数据 分 解 成 原始 数据 .签名 数据 和 客户 证 书 三 部 分 。 

(3) 用 CA 根 证 书 (CA 的 公 钥 ) 验 证 客户 证 书 的 签名 完整 性 。 

(4) 检查 客户 证 书 是 否 有 效 〈 当 前 时 间 在 证 书 结构 中 的 所 定义 的 有 效 期 内 ) 。 

(5) 检查 客户 证 书 是 否 作废 。 

(6) 验证 客户 证 书 结构 中 的 证 书 用 途 。 

(7) 用 客户 的 证 书 (客户 的 公 钥 ) 验 证 原始 数据 的 签名 完整 性 。 

如 果 以 上 各 项 均 验 证 通过 , 则 接受 该 数据 。 


6. PKI 的 信任 模型 
建立 一 个 管理 全 世界 所 有 用 户 的 全 球 性 PKI 是 不 现实 的 。 比 较 可 行 的 办 法 是 各 个 国 
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家 建立 自己 的 PKI, 一 个 国家 之 内 建立 不 同行 业 或 不 同 地 区 的 PKI。 但 是 为 了 实现 跨 地 区 、 
跨行 业 甚至 跨国 际 的 电子 安全 业务 ,这 些 不 同 的 PKI 之 间 互 连 互 通 和 互相 信任 是 不 可 避 
免 的 。 

对 于 大 范围 的 PKI, 一 个 CA 也 是 不 现实 的 ,往往 需要 多 个 CA。 这 些 CA 之 间 应 该 具 
有 某 种 结构 关系 ,以 使 不 同 CA 之 间 的 证 书 认证 简单 方便 。 

证 书 用 户 ,证 书 主体 、 各 个 CA 之 间 的 证 书 认证 关系 称 为 PKI 的 信任 模型 。 人 们 目前 
已 经 提出 了 多 种 信任 模型 。 

1) CA 的 严格 层次 模型 

在 这 个 结构 中 , 根 CA 把 自己 的 权力 授 给 多 个 子 CA, 这 些 子 CA 再 将 它们 的 权力 授 给 
它们 的 子 CA ,这 个 过 程 直至 某 个 CA 实际 颁发 了 证 书 。 

CA 的 严格 层次 模型 如 图 7-9 所 示 , 像 一 棵 倒置 的 树 。 每 个 实体 (包括 CA 和 终端 用 户 ) 
都 信任 根 CA ,因此 都 必须 拥有 根 CA 的 公 钥 。 
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图 7-9 CA 的 严格 层次 模型 


在 这 个 模型 中 ,层次 结构 中 所 有 实体 都 信任 唯一 的 根 CA。 这 个 层次 结构 按照 如 下 规 
则 建立 : 

(1) 根 CA 认证 (为 其 创建 和 签署 证 书 ) 直 接 在 它 下 面 的 CA。 

(2) 这 些 CA 中 的 每 一 个 都 认证 零 个 或 者 多 个 直接 在 它 下 面 的 CA。 

(3) 倒数 第 二 层 的 CA 认证 终端 实体 。 

一 个 持 有 一 份 可 信和 的 根 CA 公 钥 的 终端 实体 A 可 以 通过 如 下 方法 检验 另 一 个 终端 实 
体 B 的 证 书 。 

假设 B 的 证 书 由 子 CA; 签发 ( 公 钥 为 &), 子 CA; 的 证 书 由 子 CAs( 公 钥 为 k) 签 发 , 子 
CAs 的 证 书 由 子 CA1( 公 钥 为 1) 签发 , 子 CA 的 证 书 由 根 CA 签发 ( 公 钥 为 k)。 拥 有 的 
终端 实体 A 可 以 利用 来 验证 子 CA 的 公 钥 ,然后 利用 来 验证 子 CAs 的 公 钥 心 ,再 
利用 心 来 验证 子 CA 的 公 钥 ,最 终 利用 来 验证 B 的 证 书 。 

2) CA 分 布 式 信任 结构 

分 布 式 信任 结构 把 信任 分 散 到 两 个 或 者 更 多 个 CA 上 。 

采用 严格 层次 结构 的 PKI 系统 往往 在 一 个 企业 或 者 部 门 实施 。 为 了 将 这 些 PKI 系统 
互 连 起 来 ,可 以 采用 下 列 两 种 方式 建立 : 

(1) 中 心 辐射 配置 : 在 这 种 配置 中 ,有 一 个 中 心地 位 的 CA, 每 个 根 CA 都 和 这 个 中 心 
CA 进行 交叉 认证 。 

(2) 网 状 配置 : 所 有 根 CA 之 间 进 行 交 叉 认证 。 
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在 分 布 式 信任 结构 的 中 心 辐射 配置 中 ,中 心 CA 并 不 能 被 看 作 是 根 CA, 如 图 7-10 所 
示 。 在 这 个 结构 中 ,可 能 有 多 个 根 CA, 每 个 实体 都 信任 自己 的 根 CA, 他 们 只 拥有 自己 根 


CA 的 公 钥 。 






































图 7-10 CA 分 布 式 信任 结构 的 中 心 辐射 配置 


一 个 终端 实体 A 可 以 检验 另 一 个 终端 实体 B 的 证 书 。 如 果 它 们 拥有 同一 个 根 CA 的 
公 钥 ,认证 过 程 和 前 面 的 严格 层次 结构 一 样 ; 否则 ,A 可 以 利用 自己 根 CA 的 公 钥 验证 中 心 
CA 的 公 钥 ,然后 利用 中 心 CA 的 公 钥 来 验证 B 的 根 CA 的 公 钥 ,再 利用 B 的 根 CA 的 公 
向 下 验证 ,直至 验证 终端 实体 B 的 证 书 。 

3) Web 模型 

Web 模型 依赖 于 浏览 器 ,如 Internet Explorer 或 FireFox。 这 种 模型 将 一 些 CA 的 公 
钥 预 装 在 使 用 的 浏览 器 上 ,这 些 公 钥 确定 了 一 组 CA ,浏览 器 的 用 户 最 初 信任 这 些 CA 并 把 
它们 作为 根 CA。 

这 些 根 CA 是 通过 物理 嵌入 软件 发 布 的 ,这 样 就 将 CA 的 名 字 和 它 的 公 钥 安全 绑 定 。 

图 7-11 所 示 是 预 安装 在 下 浏览 器 中 各 CA 的 公 钥 证 书 , 可 以 通过 正 浏览 器 中 的 “ 工 
具 一 Internet 选项 一 内容 一 证 书 ” 查 看 。 


EE 下 | 
预期 目的 (N): 0 
个 人 [ee 中 约 证 书 颁发 机 构 | 受信 和 任 的 根 证 书 颁发 机 构 | 受信 任 的 发 行者 | 4 ?| 
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国 iTruschina CH iTruschins CH Ro... 2006-10-1 
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7-11 安装 在 正 浏 览 器 中 的 CA 公 钥 证 书 
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选中 某 一 个 证 书 , 单 击 “ 高 级 ”按钮 ,可 以 看 到 该 证 书 的 各 项 属性 ,如 图 7-12 所 示 。 


[3x] 
千夫。 | 说 98 信 息 | 证 书 路 径 | 


书信 息 
这 个 证 书 的 目的 如 下 - 
* 保护 电子 邮件 消息 
* 保证 远程 计算 机 的 身份 
* 所 有 发 布 策略 








颁发 给 : Certisigm Autoridade Certificadora ACIS 
颁发 者 : Certisien Autoridade Certificadora AMC1S 


有 效 起 始 日 期 1999-6-27 到 2018-6-27 


预 发 者 说 明 |[GJ 





7-12 显示 证 书 的 属性 


4) 以 用 户 为 中 心 的 信任 模型 
在 以 用 户 为 中 心 的 认证 模型 中 ,每 个 用 户 都 决定 信赖 或 拒绝 哪个 证 书 。 最 初 可 信 的 密 
钥 集 可 能 只 有 朋友 、 家 人 和 同事 等 ,如 图 7-13 所 示 。 



































[Areet 癌 事 Alice 的 哥哥 =| David 
Alice 
[atice 的 朋友 Bob 














图 7-13 ”以 用 户 为 中 心 的 信任 模型 


5) 交叉 认证 模型 

交叉 认证 模型 是 一 种 把 各 个 CA 连接 在 一 起 的 机 制 ,可 以 是 单 向 的 ,如 在 CA 的 严格 层 
次 结构 中 ,上 层 CA 对 下 层 的 认证 ; 也 可 以 是 双向 的 ,如 在 分 布 式 信任 结构 的 中 心 辐射 配置 
中 , 根 CA 与 中 心 CA 的 相互 认证 。 

在 两 个 CA 之 间 的 交叉 认证 是 指 , 一 个 CA 承认 另 一 个 CA 在 一 个 名 字 空 间 中 被 授权 
颁发 的 证 书 ,如 图 7-14 所 示 。 

例如 ,假设 实体 A 已 经 被 CA, 认证 并 且 拥 有 CA 的 公 钥 ,而 实体 B 已 被 CAs 认证 
并 且 拥 有 CA; 的 公 钥 ,。 在 交叉 认证 前 ,A 只 能 验证 CA; 颁发 的 证 书 ,而 不 能 验证 CA。 颁 
发 的 证 书 ; 而 B 则 只 能 验证 CA; 颁发 的 证 书 ,不 能 验证 CA 颁发 的 证 书 。 在 CA 和 CA， 
互相 交叉 认证 后 ,A 就 能 验证 CAs 的 公 钥 ,从 而 验证 CA， 颁发 的 证 书 ; B 也 能 验证 CA; 的 
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7-14 交叉 认证 模型 


7. PKI 应 用 


PKI 技术 的 广泛 应 用 能 满足 人 们 对 网 络 交易 安全 保障 的 需求 。 当 然 ,作为 一 种 基础 设 
施 ,PKI 的 应 用 范围 非常 广泛 ,并且 在 不 断 发 展 之 中 ,下 面 给 出 几 个 应 用 实例 。 

1) 虚拟 专用 网 络 (VPN) 

VPN 是 一 种 架构 在 公用 通信 基础 设施 上 的 专用 数据 通信 网 络 , 利 用 网 络 层 安 全 协议 
(尤其 是 IPSec) 和 建立 在 PKI 上 的 加 密 与 签名 技术 获得 机 密 性 保护 。 基 于 PKI 技术 的 
IPSec 协议 现在 已 经 成 为 架构 VPN 的 基础 ,可 以 为 路 由 器 之 间 、 防 火 墙 之 间或 路 由 器 和 防 
火 墙 之 间 提 供 经 过 加 密 和 认证 的 通信 。 虽 然 IPSec 协议 的 实现 会 复杂 一 些 , 但 其 安全 性 比 
其 他 协议 都 完善 得 多 。 

2) 安全 电子 邮件 

随 着 Internet 的 持续 增长 ,商业 机 构 或 政府 机 构 都 开始 用 电子 邮件 交换 一 些 秘 密 的 或 
是 有 商业 价值 的 信息 ,这 就 引出 了 一 些 安全 方面 的 问题 ,包括 : 消息 和 附件 可 以 在 不 为 通信 
双方 所 知 的 情况 下 被 读 取 、 自 改 或 截 掉 ; 发 信人 的 身份 无 法 确认 。 电 子 邮 件 的 安全 需求 也 
是 机 密 性 、 完 整 性 、 认 证 和 不 可 否认 性 ,而 这 些 都 可 以 利用 PKI 技术 来 获得 。 

目前 发 展 很 快 的 安全 电子 邮件 协议 是 S/MIME (the secure multipurpose Internet mail 
extension) ,这 是 一 个 允许 发 送 加 密 和 有 签名 邮件 的 协议 。 该 协议 的 实现 需要 依赖 于 PKI 
技术 。 

3) Web 安全 

为 了 透明 地 解决 Web 的 安全 问题 ,在 两 个 实体 进行 通信 之 前 , 先 要 建立 SSL 连接 ,以 
此 实现 对 应 用 层 透明 的 安全 通信 。 利 用 PKI 技术 ,SSL 协议 允许 在 浏览 器 和 服务 器 之 间 进 
行 加 密 通 信 。 此 外 服务 器 端 和 浏览 器 端 通信 时 双方 可 以 通过 数字 证 书 确 认 对 方 的 身份 。 结 
合 SSL 协议 和 数字 证 书 ,PKI 技术 可 以 保证 Web 交易 多 方面 的 安全 需求 ,使 Web 上 的 交易 
和 面对面 的 交易 一 样 安全 。 

从 目前 的 发 展 来 说 ,PKI 的 范围 非常 广 ,而 不 仅仅 局 限于 通常 认为 的 CA 机 构 , 它 还 包 
括 完 整 的 安全 策略 和 安全 应 用 。 因 此 ,PKI 的 开发 也 从 传统 的 身份 认证 到 各 种 与 应 用 相关 
的 安全 场合 ,如 企业 安全 电子 商务 和 政府 的 安全 电子 政务 等 。 

另外 ,PKI 的 开发 也 从 大 型 的 认证 机 构 到 与 企业 或 政府 应 用 相关 的 中 小 型 PKI 系统 发 
展 , 既 保持 了 兼容 性 ,又 和 特定 的 应 用 相关 。 


第 8 音 访问 控制 


访问 控制 是 网 络 安全 防范 和 保护 的 主要 策略 之 一 , 它 的 主要 任务 是 保证 网 络 资源 不 被 
非法 访问 和 使 用 。 访 问 控 制 规定 了 主体 对 客体 访问 的 限制 ,并 在 身份 认证 的 基础 上 ,根据 身 
份 对 提出 资源 访问 的 请 求 加 以 控制 。 它 是 对 信息 系统 资源 进行 保护 的 重要 措施 ,也 是 计算 
机 系统 最 重要 和 最 基础 的 安全 机 制 。 它 是 一 种 加 强 授权 的 方法 ,这 个 授权 是 指 资源 的 所 有 
者 或 控制 者 准许 其 他 人 访问 这 种 资源 。 这 些 资源 包含 信息 资源 ,处理 资 源 .通信 资源 和 物理 
资源 ,访问 一 种 资源 意味 着 从 这 个 资源 中 得 到 信息 ,修改 资源 或 使 它 完成 某 种 功能 。 


81 访问 控制 概述 


访问 控制 是 信息 安全 保障 机 制 的 重要 内 容 , 是 实现 数据 保密 性 和 完整 性 机 制 的 主要 手 
段 之 一 。 访 问 控制 是 为 了 限制 访问 主体 (或 称 为 发 起 者 ,是 一 个 主动 的 实体 ,如 用 户 、 进 程 、 
服务 等 ) 对 访问 客体 (需要 保护 的 资源 ) 的 访问 权限 ,从 而 使 计算 机 系统 在 合法 范围 内 使 用 。 
访问 控制 机 制 决定 用 户 及 代表 一 定 用 户 利益 的 程序 能 做 什么 ,以 及 做 到 什么 程度 。 

访问 控制 由 两 个 重要 过 程 组 成 。 其 一 ,通过 认证 来 检验 主体 的 合法 身份 ; 其 二 ,通过 授 
权 (authorization) 来 限制 用 户 对 资源 的 访问 级 别 。 访 问 包括 读 取 数 据 ,更 改 数据 ,运行 程 
序 , 发 起 连接 等 。 

下 面 介 绍 几 个 访问 控制 的 最 基本 概念 。 


1. 主体 (subject) 


主体 指 主动 的 实体 ,是 访问 的 发 起 者 , 它 造成 了 信息 的 流动 和 系统 状态 的 改变 。 主 体 通 
常 包括 人 、 进 程 和 设备 。 根 据 主体 权限 不 同 可 以 分 为 4 类 : 

(1) 特殊 用 户 : 系统 管理 员 , 具 有 最 高 级 别 的 特权 ,可 以 访问 任何 资源 ,并 具有 任何 类 
型 的 访问 操作 能 力 。 

(2) 一 般 用 户 : 最 大 的 一 类 用 户 ,他 们 的 访问 操作 受到 一 定 的 限制 ,由 系统 管理 员 
分 配 。 

(3) 审计 用 户 : 负责 整个 安全 系统 范围 内 的 安全 控制 与 资源 使 用 情况 的 审计 。 

(4) 作废 的 用 户 : 被 系统 拒绝 的 用 户 。 
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2. 客体 (object) 


客体 是 指 包含 或 接受 访问 的 被 动 实体 ,客体 在 信息 流动 中 的 地 位 是 被 动 的 ,是 处 于 主体 
的 作用 之 下 ,对 客体 的 访问 意味 着 对 其 中 所 包含 信息 的 访问 。 客 体 通常 包括 文件 和 文件 系 
统 、 磁 盘 和 磁带 卷 标 、 远 程 终端 .信息 管理 系统 的 事务 处 理 及 其 应 用 、 数 据 库 中 的 数据 、 应 用 
资源 等 。 


3. 访问 (access) 
访问 是 使 信息 在 主体 和 客体 之 间 流 动 的 一 种 交互 方式 。 
4. 访问 许可 (access permissions) 


访问 控制 决定 了 谁 能 够 访问 系统 ,能 访问 系统 的 何 种 资源 以 及 如 何 使 用 这 些 资源 。 适 
当 的 访问 控制 能 够 阻止 未 经 允许 的 用 户 有 意 或 无 意 地 获取 数据 。 访 问 控制 的 手段 包括 用 户 
识别 代码 密码、 登录 控制 .资源 授权 (如 用 户 配置 文件 .资源 配置 文件 和 控制 列表 )、 授 权 核 
查 .日 志和 审计 等 。 


5. 控制 策略 


控制 策略 是 主体 对 客体 的 访问 规则 集 , 这 个 规则 集 直接 定义 了 主体 对 客体 的 作用 行为 
和 客体 对 主体 的 条 件 约 束 。 访 问 策略 体现 了 一 种 授权 行为 ,也 就 是 客体 对 主体 的 权限 允许 ， 
这 种 允许 不 超越 规则 集中 的 定义 。 

访问 控制 在 信息 系统 中 应 用 非常 广泛 ,如 对 用 户 的 网 络 接 入 过 程 进 行 控 制 ,操作 系统 中 
控制 用 户 对 文件 系统 和 底层 设备 的 访问 。 另 外 当 需 要 提供 更 细 粒 度 的 数据 访问 控制 时 ,可 
以 在 应 用 程序 中 实现 基于 数据 记录 或 更 小 的 数据 单元 访问 控制 。 例 如 ,大 多 数 数据 库 ( 如 
Oracle) 都 提供 独立 于 操作 系统 的 访问 控制 机 制 ,Oracle 使 用 其 内 部 用 户 数据 库 , 且 数据 库 
中 的 每 个 表 都 有 自己 的 访问 控制 策略 来 支配 对 其 记录 的 访问 。 


82 访问 控制 策略 


访问 控制 系统 一 般 包括 主体 、 客 体 , 以 及 为 识别 和 验证 这 些 实体 的 子 系统 和 控制 实体 间 
访问 的 参考 监视 器 。 由 于 网 络 传输 的 需要 ,访问 控制 的 研究 发 展 很 快 ,有 许多 访问 控制 策略 
被 提出 来 。 

1985 年 美国 军 方 提出 可 信 计 算 机 系统 评估 准则 TCSEC, 其 中 描述 了 两 种 著名 的 访问 
控制 策略 : 自主 访问 控制 和 强制 访问 控制 。 基 于 角色 的 访问 控制 (RBAC) 由 Ferraiolo 和 
Kuhn 在 1992 年 提出 的 。 考虑 到 网 络 安全 和 传输 流 , 又 提出 了 基于 对 象 和 基于 任务 的 访问 
控制 。 

各 种 访问 控制 策略 之 间 并 不 相互 排斥 ,现存 计算 机 系统 中 通常 都 是 多 种 访问 控制 策略 
并 存 , 系 统管 理 员 能 够 对 安全 策略 进行 配置 使 其 达到 安全 政策 的 要 求 。 
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821 自主 访问 控制 


自主 访问 控制 (discretionary access control,DAC) 人 允许 合法 用 户 以 用 户 或 用 户 组 的 身 
份 访问 规定 的 客体 ,同时 阻止 非 授 权 用 户 访问 客体 , 某 些 用 户 还 可 以 自主 地 把 自己 所 拥 
有 的 客体 的 访问 权限 授予 其 他 用 户 。 自 主 访问 控制 又 称 为 任意 访问 控制 。Linux、UNIX、 
Windows NT/SERVER 版 本 的 操作 系统 都 提供 自主 访问 控制 的 功能 。 在 实现 上 ,首先 要 
对 用 户 的 身份 进行 鉴别 ,然后 就 可 以 按照 访问 控制 列表 所 赋予 用 户 的 权限 允许 和 限制 用 
户 使 用 客体 的 资源 。 主 体 控制 权限 的 修改 通常 由 特权 用 户 或 是 特权 用 户 ( 管 理 员 ) 组 
实现 。 

自主 访问 控制 的 特点 是 授权 的 实施 主体 (可 以 授权 的 主体 、 管 理 授权 的 客体 或 授权 
组 ) 自 主 负责 赋予 和 回收 其 他 主体 对 客体 资源 的 访问 权限 。DAC 模型 一 般 采 用 访问 控制 
矩阵 和 访问 控制 列表 存放 不 同 主体 的 访问 控制 信息 ,从 而 达到 对 主体 访问 权限 的 限制 
目的 。 

由 于 DAC 对 用 户 提供 灵活 和 易 行 的 数据 访问 方式 ,能 够 适用 于 许多 的 系统 环境 ,所 
以 DAC 被 大 量 采用 ,尤其 在 商业 和 工业 环境 的 应 用 中 。 然 而 ,DAC 提供 的 安全 保护 容易 
被 非法 用 户 绕 过 而 获得 访问 。 例 如 , 若 某 用 户 A 有 权 访 问 文件 F, 而 用 户 B 无 权 访 问 下 ， 
则 一 旦 A 获取 下 后 再 传送 给 B, 则 B 也 可 访问 F, 其 原因 是 在 自由 访问 策略 中 ,用 户 在 获 
得 文件 的 访问 后 ,并 没有 限制 对 该 文件 信息 的 操作 , 即 并 没有 控制 数据 信息 的 分 发 。 所 
以 DAC 提供 的 安全 性 还 相对 较 低 ,不 能 够 对 系统 资源 提供 充分 的 保护 ,不 能 抵御 特洛伊 
木马 的 攻击 。 

自主 访问 控制 通常 有 三 种 实现 机 制 , 即 访问 控制 矩阵 .访问 控制 列表 和 访问 控制 能 力 
列表 。 


1. 访问 控制 矩阵 


访问 控制 矩阵 (access control matrix) 是 最 初 实现 访问 控制 机 制 的 概念 模型 ,利用 二 维 
和 矩阵 规定 了 任意 主体 和 任意 客体 间 的 访问 权限 。 和 矩阵 中 的 行 代表 主体 的 访问 权限 属性 ,和 矩 
阵 中 的 列 代表 客体 的 访问 权限 属性 ,矩阵 中 的 每 一 格 表示 所 在 行 的 主体 对 所 在 列 的 客体 的 
访问 授权 ,如 图 8-1 所 示 , 其 中 Own/O 表示 管理 操作 ,R 表示 读 操作 , W 表示 写 操作 ,将 
管理 操作 从 读 写 中 分 离 出 来 ,是 因为 管理 员 也 许 会 对 控制 规则 本 身 或 是 文件 的 属性 等 做 
修改 。 














主 从 客体 | 客体 1 客体 2 客体 3 
主体 1 OwnRW OwnRW 
主体 2 R OwnRVW Ww 
主体 3 RW R 




















8-1 访问 控制 矩阵 


访问 控制 的 任务 是 确保 系统 的 操作 按照 访问 控制 矩阵 授权 的 访问 执行 的 ,通过 引用 监 
控 器 协调 客体 对 主体 的 每 次 访问 而 实现 ,这 种 方法 清晰 地 实现 认证 与 访问 控制 的 相互 分 离 。 
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在 较 大 的 系统 中 ,访问 控制 矩阵 将 变 得 非常 巨大 ,而 且 和 矩阵 中 的 许多 格 可 能 都 为 空 ,造成 很 
大 的 存储 空间 浪费 ,因此 在 实际 应 用 中 ,访问 控制 很 少 利用 矩阵 方式 实现 。 


2. 访问 控制 列表 


访问 控制 列表 (access control lists,ACLs) 是 以 文件 为 中 心 建立 访问 权限 表 , 表 中 登记 
了 客体 文件 的 访问 用 户 名 及 访问 权 隶 属 关 系 。 利 用 访问 控制 列表 ,能 够 很 容易 地 判断 出 对 
于 特定 客体 的 授权 访问 ,哪些 主体 可 以 访问 并 有 哪些 访问 权限 。 同 样 很 容易 撤销 特定 客体 
的 授权 访问 ,只 要 把 该 客体 的 访问 控制 列表 置 为 空 即 可 。 

利用 访问 控制 列表 可 以 为 每 个 客体 附加 一 个 可 以 访问 它 的 主体 的 明细 表 , 如 图 8-2 
所 示 。 














Objectl —™| User A UserB UserC 
Own 
R R R 
Ww Ww 
O O O 


























图 8-2 访问 控制 列表 示例 


在 图 8-2 中 ,对 于 客体 Object1. 主 体 A 具有 管理 . 读 和 写 的 权力 ,主体 B 具有 读 和 写 的 
权力 ,主体 C 只 能 读 。 

由 于 访问 控制 列表 的 简单 、 实 用 ,许多 通用 的 操作 系统 使 用 访问 控制 列表 提供 访问 控制 
服务 。 例 如 ,UNIX 和 VMS 系统 利用 访问 控制 列表 的 简略 方式 ,允许 以 少量 工作 组 的 形式 
实现 访问 控制 列表 ,而 不 允许 单个 的 个 体 出 现 , 这 样 可 以 使 访问 控制 列表 很 小 而 能 够 用 几 位 
就 可 以 和 文件 存储 在 一 起 。 另 一 种 复杂 的 访问 控制 列表 应 用 是 利用 一 些 访问 控制 包 , 通 过 
它 制 定 复杂 的 访问 规则 限制 何 时 和 如 何 进行 访问 ,而 且 这 些 规 则 根据 用 户 名 和 其 他 用 户 属 
性 的 定义 进行 单个 用 户 的 匹配 应 用 。 


3. 访问 控制 能 力 列表 


能 力 是 访问 控制 中 的 一 个 重要 概念 , 它 是 指 请 求 访问 的 发 起 者 所 拥有 的 一 个 有 效 标签 
(ticket) , 它 授权 标签 的 持 有 者 可 以 按照 何 种 访问 方式 访问 特定 的 客体 。 访问 控制 能 力 表 
(access control capabilities lists, ACCLs) 是 以 用 户 为 中 心 建立 访问 权限 表 。 为 每 个 主体 附 
加 一 个 该 主体 能 够 访问 的 客体 的 明细 表 。 

能 力 机 制 的 最 大 特点 是 能 力 的 拥有 者 可 以 在 主体 中 转移 能 力 。 在 转移 的 全 部 能 力 中 有 
一 种 能 力 叫 “转移 能 力 ”, 这 个 能 力 允 许 接受 能 力 的 主体 继续 转移 能 力 。 例 如 ,进程 A 将 某 
个 能 力 转 移 给 进程 B,B 又 将 能 力 传递 给 进程 C。 如 果 B 不 想 让 C 继续 转移 这 个 能 力 ,就 在 
将 能 力 转移 给 C 时 去 掉 “ 转 移 能 力 ”, 这 样 C 就 不 能 转移 此 能 力 了 。 主 体 为 了 在 取消 某 能 力 
的 同时 从 所 有 相关 主体 中 彻底 清除 该 能 力 ,需要 跟踪 所 有 的 转移 。 

一 个 主体 的 访问 控制 能 力 列表 如 图 8-3 所 示 。 
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User A [一 | Objectl Object2 Object3 
Own 
R R R 
Ww Ww 
O O O 

















8-3 ”访问 控制 能 力 列表 示例 


822 强制 访问 控制 


强制 访问 控制 (mandatory access control, MAC) 是 比 DAC 更 为 严格 的 访问 控制 策略 。 
与 DAC 相 比 ,强制 访问 控制 提供 的 访问 控制 机 制 无 法 绕 过 。 在 强制 访问 控制 中 ,每 个 用 户 
及 文件 都 被 赋予 一 定 的 安全 级 别 ,用 户 不 能 改变 自身 或 任何 客体 的 安全 级 别 , 即 不 允许 单个 
用 户 确定 访问 权限 ,只 有 系统 管理 员 可 以 确定 用 户 和 组 的 访问 权限 。 系 统 通过 比较 用 户 和 
访问 的 文件 的 安全 级 别 来 决定 用 户 是 否 可 以 访问 该 文件 。 此 外 ,强制 访问 控制 不 允许 一 个 
进程 生成 共享 文件 ,从 而 防止 进程 通过 共享 文件 将 信息 从 一 个 进程 传 到 另 一 进程 。MAC 
可 通过 使 用 敏感 标签 对 所 有 用 户 和 资源 强制 执行 安全 策略 , 即 实行 强制 访问 控制 。 安 全 级 
别 一 般 有 5 级 : 绝密 级 (top secret,T) 、 秘 密级 (secret,S) 、 机 密级 (confidential,C)、 限 制 级 
(Crestricted,R) 和 无 密级 (unclassified,U) ,其 中 TS>C>R 二 U。 


用 户 与 访问 的 信息 的 读 写 关系 将 有 4 种 : 


(1) 下 读 (read down) : 用 户 级 别 高 于 文件 级 别 的 读 操作 。 

(2) 上 写 (write up) : 用 户 级 别 低 于 文件 级 别 的 写 操作 。 

(3) 下 写 (write down) : 用 户 级 别 高 于 文件 级 别 的 写 操作 。 

(4) 上 读 (read up) : 用 户 级 别 低 于 文件 级 别 的 读 操作 。 

上 述 读 写 方式 都 保证 了 信息 流 的 单 向 性 ,显然 上 读 和 下 写 方式 保证 了 数据 的 完整 性 ,上 


写 和 下 读 方 式 则 保证 了 信息 的 秘密 性 。 


图 8-4 所 示 为 一 个 强制 访问 控制 策略 的 例子 。 














| -ia | ia | 
导弹 计划 ~ - 电话 和 


级 别 : 绝密 | ”拒绝 主体 : Jack 
级 别 : 秘密 


允许 | 级 别 : 限制 








8-4 强制 访问 控制 示例 


主体 Jack 只 能 读 取 级 别 低 的 文件 ,而 不 能 访问 比 他 级 别 高 的 文件 。 

强制 访问 控制 通常 借助 访问 控制 安全 标签 列表 (access control security labels lists) 实 
现 。 安 全 标签 是 限制 和 附属 在 主体 或 客体 上 的 一 组 安全 属性 信息 。 安 全 标签 的 含义 比 能 力 
更 为 广泛 和 严格 ,因为 它 实际 上 还 建立 了 一 个 严格 的 安全 等 级 集合 。 访 问 控制 标签 列表 是 
限定 一 个 用 户 对 一 个 客体 目标 访问 的 安全 属性 集合 。 

访问 控制 安全 标签 列表 的 实现 示例 如 表 8-1 和 表 8-2 所 示 , 表 8-1 为 用 户 对 应 的 安全 级 
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别 , 表 8-2 为 文件 系统 对 应 的 安全 级 别 。 
表 8-1 用 户 对 应 的 安全 级 别 表 8-2 文件 系统 对 应 的 安全 级 别 



































用 户 A 的 安全 级 别 为 S, 那 么 他 请 求 访问 文件 File 2 时 ,由 于 TS, 访 问 会 被 拒绝 ; 当 
他 访问 Filel 时 ,由 于 SR, 所 以 允许 访问 。 


823 基于 角色 的 访问 控制 


基于 角色 的 访问 控制 (role-based access, RBAC) 的 基本 思想 是 将 访问 许可 权 分 配给 一 
定 的 角色 ,用 户 通 过 饰演 不 同 的 角色 获得 角色 所 拥有 的 访问 许可 权 。 这 是 因为 在 很 多 实际 
应 用 中 ,用 户 并 不 是 可 以 访问 的 客体 信息 资源 的 所 有 者 (这 些 信息 属于 企业 或 公司 ) ,这 样 的 
话 , 访 问 控制 应 该 基于 员工 的 职务 而 不 是 基于 员工 在 哪个 组 或 谁 是 信息 的 所 有 者 , 即 访问 控 
制 是 由 各 个 用 户 在 部 门 中 所 担任 的 角色 来 确定 的 ,例如 ,一 个 学 校 可 以 有 教师 ,学 生 和 其 他 
管理 人 员 等 角色 。 

RBAC 从 控制 主体 的 角度 出 发 ,根据 管理 中 相对 稳定 的 职权 和 责任 来 划分 角色 ,将 访问 
权限 与 角色 相 联系 ,这 点 与 传统 的 MAC 和 DAC 将 权限 直接 授予 用 户 的 方式 不 同 ; 通过 给 
用 户 分 配合 适 的 角色 ,让 用 户 与 访问 权限 相 联 系 。 角 色 成 为 访问 控制 中 访问 主体 和 受 控 对 
象 之 间 的 一 座 桥梁 。 

角色 可 以 看 作 是 一 组 操作 的 集合 ,不 同 的 角色 具有 不 同 的 操作 集 , 这 些 操作 集 由 系统 管 
理 员 分 配给 角色 。 在 下 面 的 实例 中 ,假设 Tchl, Tch2, Tch3,…, Tchi 是 对 应 的 教师 ， 
Stud1,Stud2,Stud3,…,Studj 是 相应 的 学 生 , Mngl, Mng2, Mng3,…,Mngk 是 教务 处 管理 
人 员 , 那 么 老师 的 权限 为 TchMN = {查询 成 绩 、 上 传 所 教 课程 的 成 绩 }; 学 生 的 权限 为 
StudMN 二 {查询 成 绩 、 反 映 意见 }; 教务 管理 人 员 的 权限 为 MngMN 王 {查询 ,修改 成 绩 、 打 
印 成 绩 清 单 ;。 那 么 ,依据 角色 的 不 同 ,每 个 主体 只 能 执行 自己 所 制定 的 访问 功能 。 用 户 在 
一 定 的 部 门 中 具有 一 定 的 角色 ,其 所 执行 的 操作 与 其 所 扮演 的 角色 的 职能 相 匹 配 ,这 正 是 基 
于 角色 的 访问 控制 的 根本 特征 , 即 依据 RBAC 策略 ,系统 定义 了 各 种 角色 ,每 种 角色 可 以 完 
成 一 定 的 职能 ,不 同 的 用 户 根据 其 职能 和 责任 被 赋予 相应 的 角色 ,一 旦 某 个 用 户 成 为 某 角色 
的 成 员 , 则 此 用 户 可 以 完成 该 角色 所 具有 的 职能 。 

系统 管理 员 负 责 授 予 用 户 各 种 角色 的 成 员 资 格 或 撤销 某 用 户 具有 的 某 个 角色 。 例 如 ， 
学 校 新 进 一 名 教师 Tchz, 那 么 系统 管理 员 只 需 将 Tchz 添加 到 教师 这 一 角色 的 成 员 中 即 
可 ,而 无 须 对 访问 控制 列表 做 改动 。 同 一 个 用 户 可 以 是 多 个 角色 的 成 员 , 即 同一 个 用 户 可 以 
扮演 多 种 角色 ,如 一 个 用 户 可 以 是 老师 .同时 也 可 以 作为 进修 的 学 生 。 同 样 ,一 个 角色 可 以 
拥有 多 个 用 户 成 员 , 这 与 现实 是 一 致 的 ,一 个 人 可 以 在 同一 部 门 中 担任 多 种 职务 ,而 且 担任 
相同 职务 的 可 能 不 止 一 人 。 因 此 RBAC 提供 了 一 种 描述 用 户 和 权限 之 间 的 多 对 多 关系 , 角 
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色 可 以 划分 成 不 同 的 等 级 ,通过 角色 等 级 关系 反映 一 个 组 织 的 职权 和 责任 关系 ,这 种 关系 具 
有 反 身 性 传递 性 和 非 对 称 性 特点 ,通过 继承 行为 形成 了 一 个 偏 序 关系 ,如 MngMN 二 
TechMN>StudMN 。RBAC 中 通常 定义 不 同 的 约束 规则 对 模型 中 的 各 种 关系 进行 限制 ,最 
基本 的 约束 是 “相互 排斥 ”约束 和 “基本 限制 ”约束 ,分 别 规定 了 模型 中 的 互 斥 角色 和 一 个 角 
色 可 被 分 配 的 最 大 用 户 数 。RBAC 中 引进 了 角色 的 概念 ,用 角色 表示 访问 主体 具有 的 职权 
和 责任 ,灵活 地 表达 和 实现 了 企业 的 安全 策略 ,使 系统 权限 管理 在 企业 的 组 织 视图 这 个 较 高 
的 抽象 集 上 进行 ,从 而 简化 了 权限 设置 的 管理 ,从 这 个 角度 看 ,RBAC 很 好 地 解决 了 企业 管 
理 信息 系统 中 用 户 数量 多 ,变动 频繁 的 问题 。 

相 比 较 而 言 ,RBAC 是 实施 面向 企业 的 安全 策略 的 一 种 有 效 的 访问 控制 方式 ,其 具有 灵 
活性 ,方便 性 和 安全 性 的 特点 ,目前 在 大 型 数据 库 系 统 的 权限 管理 中 得 到 普遍 应 用 。 角 色 由 
系统 管理 员 定义 ,角色 成 员 的 增 减 也 只 能 由 系统 管理 员 来 执行 , 即 只 有 系统 管理 员 有 权 定 义 
和 分 配角 色 。 用 户 与 客体 无 直接 联系 ,他 只 有 通过 角色 才 享 有 该 角色 所 对 应 的 权限 ,从 而 访 
问 相应 的 客体 。 因 此 用 户 不 能 自主 地 将 访问 权限 授 给 别 的 用 户 ,这 是 RBAC 与 DAC 的 根 
本 区 别 所 在 。RBAC 与 MAC 的 区 别 在 于 : MAC 是 基于 多 级 安全 需求 的 ,而 RBAC 则 
不 是 。 


824 基于 任务 的 访问 控制 


上 述 几 种 访问 控制 都 是 从 系统 的 角度 出 发 去 保护 资源 (控制 环境 是 静态 的 ) ,在 进行 权 
限 的 控制 时 没有 考虑 执行 的 上 下 文 环境 。 数据库 、 网 络 和 分 布 式 计算 的 发 展 ,组 织 任务 进 一 
步 自动 化 ,与 服务 相关 的 信息 进一步 计算 机 化 ,这 促使 人 们 将 安全 问题 方面 的 注意 力 从 独立 
的 计算 机 系统 中 静态 的 主体 和 客体 保护 ,转移 到 随 着 任务 的 执行 而 进行 动态 授权 的 保护 上 。 
此 外 ,上 述 访问 控制 不 能 记录 主体 对 客体 权限 的 使 用 ,权限 没有 时 间 限 制 ,只 要 主体 拥有 对 
客体 的 访问 权限 ,主体 就 可 以 无 数 次 地 执行 该 权限 。 因 此 ,引入 工作 流 的 概念 加 以 阐述 。 工 
作 流 是 为 完成 某 一 目标 而 由 多 个 相关 的 任务 (活动 ) 构 成 的 业务 流程 。 工 作 流 所 关注 的 问题 
是 处 理 过 程 的 自动 化 ,对 人 和 其 他 资源 进行 协调 管理 ,从 而 完成 某 项 工作 。 当 数据 在 工作 流 
中 流动 时 ,执行 操作 的 用 户 在 改变 ,用 户 的 权限 也 在 改变 ,这 与 数据 处 理 的 上 下 文 环境 相关 。 
传统 的 DAC 和 MAC 访问 控制 技术 , 则 无 法 予以 实现 ,至 于 RBAC, 也 需要 频繁 地 更 换 角 
色 , 且 不 适合 工作 流程 的 运转 。 因 此 ,必须 考虑 新 的 访问 控制 策略 。 

基于 任务 的 访问 控制 (task-based access control,TBAC) 是 从 应 用 和 企业 层 角 度 解决 安 
全 问题 ,以 面向 任务 的 观点 ,从 任务 (活动 ) 的 角度 实现 安全 机 制 , 在 任务 处 理 的 过 程 中 提供 
动态 实时 的 安全 管理 。 

在 TBAC 中 ,对 象 的 访问 权限 控制 并 不 是 静止 不 变 的 ,而 是 随 着 执行 任务 的 上 下 文 环 
境 发 生变 化 。TBAC 首要 考虑 的 是 在 工作 流 的 环境 中 对 信息 的 保护 问题 : 在 工作 流 环境 
中 ,数据 的 处 理 与 上 一 次 的 处 理 相 关联 ,相应 的 访问 控制 也 如 此 ,因而 TBAC 是 一 种 上 下 文 
相关 的 访问 控制 。 其 次 ,TBAC 不 仅 能 对 不 同 工 作 流 实行 不 同 的 访问 控制 策略 ,而 且 还 能 
对 同一 工作 流 的 不 同 任务 实例 实行 不 同 的 访问 控制 策略 。 从 这 个 意义 上 说 ,TBAC 是 基于 
任务 的 ,这 也 表明 ,TBAC 是 一 种 基于 实例 (Instance-based) 的 访问 控制 。 

TBAC 模型 由 工作 流 、 授 权 结 构 体 、 受 托 人 集 、 许 可 集 4 部 分 组 成 。 
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任务 (task) 是 工作 流程 中 的 一 个 逻辑 单元 ,是 一 个 可 区 分 的 动作 ,与 多 个 用 户 相 关 , 也 
可 能 包括 几 个 子 任 务 。 授 权 结 构 体 是 任务 在 计算 机 中 进行 控制 的 一 个 实例 。 任 务 中 的 子 任 
务 ,对 应 于 授权 结构 体 中 的 授权 步 。 

授权 结构 体 (authorization unit) : 是 由 一 个 或 多 个 授权 步 组 成 的 结构 体 ,它们 在 逻辑 上 
是 联系 在 一 起 的 。 授 权 结 构 体 分 为 一 般 授权 结构 体 和 原子 授权 结构 体 。 一 般 授权 结构 体内 
的 授权 步 依 次 执行 ,原子 授权 结构 体内 部 的 每 个 授权 步 紧 密 联 系 , 其 中 任何 一 个 授权 步 失败 
都 会 导致 整个 结构 体 的 失败 。 

授权 步 (authorization step) 表 示 一 个 原始 授权 处 理 步 , 是 指 在 一 个 工作 流程 中 对 处 理 
对 象 的 一 次 处 理 过 程 。 授 权 步 是 访问 控制 所 能 控制 的 最 小 单元 ,由 受托 人 集 (trustee set) 和 
多 个 许可 集 (permissions set) 组 成 。 

受托 人 集 是 可 被 授予 执行 授权 步 的 用 户 的 集合 ,许可 集 则 是 受托 集 的 成 员 被 授予 授权 
步 时 拥有 的 访问 许可 。 当 授权 步 初始 化 以 后 ,一 个 来 自 受 托 人 集中 的 成 员 将 被 授予 授权 步 ， 
称 这 个 受托 人 为 授权 步 的 执行 委托 者 ,该 受托 人 执行 授权 步 过 程 中 所 需 许 可 的 集合 称 为 执 
行者 许可 集 。 授 权 步 之 间或 授权 结构 体 之 间 的 相互 关系 称 为 依赖 Cdependency) ,依赖 反映 
了 基于 任务 的 访问 控制 的 原则 。 授 权 步 的 状态 变化 一 般 自我 管理 ,依据 执行 的 条 件 而 自动 
变迁 状态 ,但 有 时 也 可 以 由 管理 员 进行 调配 。 

一 个 工作 流 的 业务 流程 由 多 个 任务 构成 。 而 一 个 任务 对 应 于 一 个 授权 结构 体 ,每 个 授 
权 结 构 体 由 特定 的 授权 步 组 成 。 授 权 结 构 体 之 间 以 及 授权 步 之 间 通 过 依赖 关系 联系 在 一 
起 。 在 TBAC 中 ,一 个 授权 步 的 处 理 可 以 决定 后 续 授 权 步 对 处 理 对 象 的 操作 许可 ,上 述 许 
可 集合 称 为 激活 许可 集 。 执 行者 许可 集 和 激活 许可 集 一 起 称 为 授权 步 的 保护 态 。 

TBAC 模型 一 般 用 五 元 组 (SO,P,L,AS) 表 示 , 其 中 S 表示 主体 ,O 表示 客体 ,P 表示 
许可 ,L 表示 生命 期 (lifecycle) ,AS 表示 授权 步 。 由 于 任务 都 是 有 时 效 性 的 ,所 以 在 基于 任 
务 的 访问 控制 中 ,用 户 对 于 授予 他 的 权限 的 使 用 也 是 有 时 效 性 的 。 因 此 , 若 P 是 授权 步 AS 
所 激活 的 权限 ,那么 L 则 是 授权 步 AS 的 存活 期 限 。 在 授权 步 AS 被 激活 之 前 , 它 的 保护 态 是 
无 效 的 ,其 中 包含 的 许可 不 可 使 用 。 当 授权 步 AS 被 触发 时 , 它 的 委托 执行 者 开始 拥有 执行 者 
许可 集中 的 权限 ,同时 它 的 生命 期 开始 倒计时 。 在 生命 期 期 间 , 五 元 组 (S,O,P,L,AS) 有 效 。 
生命 期 终止 时 ,五 元 组 (S,O,P,L,AS) 无 效 , 委 托 执行 者 所 拥有 的 权限 被 回收 。 

TBAC 的 访问 政策 及 其 内 部 组 件 关系 一 般 由 系统 管理 员 直 接 配置 。 通 过 授权 步 的 动 
态 权 限 管 理 ,TBAC 支持 最 小 特权 原则 和 最 小 泄露 原则 ,在 执行 任务 时 只 给 用 户 分 配 所 需 
的 权限 ,未 执行 任务 或 任务 终止 后 用 户 不 再 拥有 所 分 配 的 权限 ; 而 且 在 执行 任务 过 程 中 , 当 
某 一 权限 不 再 使 用 时 ,授权 步 自 动 将 该 权限 回收 。 

TBAC 从 工作 流 中 的 任务 角度 建 模 ,可 以 依据 任务 和 任务 状态 的 不 同 , 对 权限 进行 动 
态 管 理 。 因 此 ,TBAC 非常 适合 分 布 式 计算 和 多 点 访问 控制 的 信息 处 理 控制 以 及 在 工作 
流 、 分 布 式 处 理 和 事务 管理 系统 中 的 决策 制定 。 





825 基于 对 象 的 访问 控制 


DAC 或 MAC 模型 的 主要 任务 都 是 对 系统 中 的 主体 和 客体 进行 一 维 的 权限 管理 , 当 用 
户 数量 多 .处理 的 信息 数据 量 巨大 时 ,用 户 权限 的 管理 任务 将 变 得 十 分 繁重 ,并 且 用 户 权限 
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难以 维护 ,降低 了 系统 的 安全 性 和 可 靠 性 。 对 于 海量 的 数据 和 差异 较 大 的 数据 类 型 ,需要 用 
专门 的 系统 和 专门 的 人 员 加 以 处 理 , 如 果 采 用 RBAC 模型 ,安全 管理 员 除 了 维护 用 户 和 和 角 
色 的 关联 关系 外 ,还 需要 将 庞大 的 信息 资源 访问 权限 赋予 有 限 个 角色 。 当 信息 资源 的 种 类 
增加 或 减少 时 ,安全 管理 员 必 须 更 新 所 有 角色 的 访问 权限 设置 。 而 且 , 如 果 受 控 对 象 的 属性 
发 生变 化 ,同时 需要 将 受 控 对 象 不 同属 性 的 数据 分 配给 不 同 的 访问 主体 处 理 时 ,安全 管理 员 
将 不 得 不 增加 新 的 角色 ,并且 还 必须 更 新 原来 所 有 角色 的 访问 权限 设置 以 及 访问 主体 的 角 
色 分 配 设 置 ,这 样 的 访问 控制 需求 变化 往往 是 不 可 预知 的 ,造成 访问 控制 管理 的 难度 和 工作 
量 巨 大 。 在 这 种 情况 下 ,有 必要 引入 基于 对 象 的 访问 控制 策略 (object-based access control， 
OBAC), 

控制 策略 和 控制 规则 是 OBAC 访问 控制 系统 的 核心 所 在 。 在 基于 受 控 对 象 的 访问 控 
制 中 ,将 访问 控制 列表 与 受 控 对 象 或 受 控 对 象 的 属性 相关 联 , 并 将 访问 控制 选项 设计 成 为 用 
户 、 组 或 角色 及 其 对 应 权限 的 集合 ; 同时 允许 对 策略 和 规则 进行 重用 、 继 承 和 派生 操作 。 这 
样 ,不 仅 可 以 对 受 控 对 象 本 身 进行 访问 控制 ,对 受 控 对 象 的 属性 也 可 以 进行 访问 控制 ,而 且 
派生 对 象 可 以 继承 父 对 象 的 访问 控制 设置 ,这 对 于 信息 量 巨 大 、 信 息 内 容 更 新 变化 频繁 的 管 
理 信息 系统 非常 有 益 , 可 以 减轻 由 于 信息 资源 的 派生 、 演 化 和 重组 等 带 来 的 分 配 、 设 定 角色 
权限 等 的 工作 量 。 

OBAC 从 信息 系统 的 数据 差异 变化 和 用 户 需求 出 发 ,有 效 地 解决 了 信息 数据 量 大 、 数 
据 种 类 繁多 、 数 据 更 新 变化 频繁 的 大 型 管理 信息 系统 的 安全 管理 。OBAC 从 受 控 对 象 的 角 
度 出 发 ,将 访问 主体 的 访问 权限 直接 与 受 控 对 象 相关 联 , 一 方面 定义 对 象 的 访问 控制 列表 ， 
增 \、 删 ,修改 访问 控制 项 易于 操作 ; 另 一 方面 , 当 受 控 对 象 的 属性 发 生 改 变 , 或 受 控 对 象 发 生 
继承 和 派生 行为 时 ,无 须 更 新 访问 主体 的 权限 ,只 需要 修改 受 控 对 象 的 相应 访问 控制 项 即 
可 ,从 而 减少 了 访问 主体 的 权限 管理 ,降低 了 授权 数据 管理 的 复杂 性 。 


83 网 络 访问 控制 的 应 用 


目前 进行 网 络 访问 控制 的 方法 主要 有 MAC 地 址 过 滤 、`VLAN 隔离 IEEE802. 1Q 身份 
验证 ,基于 IP 地 址 的 访问 控制 列表 和 防火 墙 控制 等 。 


831 MAC 地 址 过 滤 


MAC 地 址 是 网 络 设备 在 全 球 的 唯一 编号 ,也 就 是 通常 所 说 的 物理 地 址 、 硬 件 地 址 、 
适配器 地 址 或 网 卡 地 址 。MAC 地 址 可 用 于 直接 标识 某 个 网 络 设备 ,是 目前 网 络 数据 交 
换 的 基础 。 现 在 二 层 交 换 机 都 可 以 支持 基于 物理 端口 配置 MAC 地 址 过 滤 表 ,用 于 限定 
只 有 与 MAC 地 址 过 滤 表 中 规定 的 一 些 网 络 设 备 有 关 的 数据 包 才 能 够 使 用 该 端口 进行 
传递 。 通 过 MAC 地 址 过 滤 技 术 可 以 保证 只 有 授权 的 MAC 地 址 才能 对 网 络 资源 进行 
访问 。 

如 图 8-5 所 示 ,在 服务 器 也 所 连接 的 交换 机 网 络 端口 的 MAC 地 址 列表 中 上 只 配置 了 
MAC a 和 MAC 6 两 个 工作 站 的 MAC 地 址 ,因此 只 有 这 两 台 工 作 站 可 以 访问 服务 器 B, 而 
MAC c 就 不 能 访问 了 ,但 是 在 服务 器 A 中 却 没 有 配置 MAC 地 址 表 , 交 换 机 就 默认 可 以 与 
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所 有 同一 网 段 的 工作 站 连接 ,这 样 MAC a、MAC b、MAC c 三 个 工作 站 都 可 以 与 服务 器 A 
连接 了 。 
服务 器 A 服务 器 B 









地 址 过 滤 表 
MACa 














8-5 MAC 地 址 过 滤 


由 于 MAC 地 址 过 滤 是 基于 网 络 设 备 唯一 ID 的 ,因此 通过 MAC 地 址 过 滤 , 可 以 从 根 
本 上 限制 使 用 网 络 资源 的 使 用 者 。 基 于 MAC 地 址 的 过 滤 对 交换 设备 的 要 求 不 高 ,并 且 基 
本 对 网 络 性 能 没有 影响 ,配置 命令 相对 简单 ,比较 适合 小 型 网 络 ,规模 较 大 的 网 络 不 太 适 用 。 
因为 使 用 MAC 地 址 过 滤 技 术 要 求 网 络 管理 员 必 须 明 确 网 络 中 每 个 网 络 设备 的 MAC 地 
址 ,并 要 根据 控制 要 求 对 各 端口 的 过 滤 表 进 行 配置 ; 且 当 某 个 网 络 设备 的 网 卡 发 生变 化 ,或 
是 物理 位 置 变化 时 要 对 系统 进行 重新 配置 ,所 以 采用 MAC 地 址 过 滤 方 法 ,对 于 网 管 员 来 
说 ,其 负担 是 相当 重 的 ,而 且 随 着 网 络 设备 数量 的 不 断 扩大 , 它 的 维护 工作 量 也 不 断 加 大 。 





832 VLAN 隔离 


虚拟 局 域 网 (VLAN) 技 术 是 为 了 避免 当 一 个 网 络 系统 中 网 络 设备 数量 增加 到 一 定 程度 
后 ,众多 的 网 络 广播 报 文 消耗 大 量 的 网 络 带宽 ,使 得 真正 的 数据 传递 受到 很 大 的 影响 ,确保 
部 分 安全 性 比较 敏感 的 部 门 数据 不 被 随意 访问 浏览 而 采用 一 种 划分 相互 隔离 子 网 的 方法 。 

通过 VLAN 技术 ,可 以 把 一 个 网 络 系统 中 的 众多 网 络 设备 分 成 若干 个 虚拟 的 “工作 
组 ”, 组 和 组 之 间 的 网 络 设备 在 二 层 上 互相 隔离 ,形成 不 同 的 广播 域 , 进 而 将 广播 流量 限制 在 
不 同 的 广播 域 中 。 

由 于 VLAN 技术 是 基于 二 层 和 三 层 之 间 的 隔离 技术 ,被 广泛 应 用 于 网 络 安全 方面 ,可 
以 通过 将 不 同 的 网 络 用 户 与 网 络 资源 进行 分 组 ,通过 支持 VLAN 的 交换 机 阻隔 不 同 组 内 网 
络 设备 间 的 数据 交换 来 达到 网 络 安全 的 目的 。 该 方式 允许 同一 VLAN 上 的 用 户 互相 通信 ， 
而 处 于 不 同 VLAN 的 用 户 之 间 在 链 路 层 上 是 断 开 的 ,只 能 通过 路 由 器 或 三 层 交 换 机 才能 
访问 。 

如 图 8-6 所 示 ,工作 站 1、2 划分 到 VLAN1 中 ,3、4 划分 到 VLAN2 中 ,这 样 1.2 工作 站 
之 间 可 以 相互 通信 ,3、4 工作 站 之 间 也 可 以 相互 通信 ,但 两 个 组 之 间 不 可 以 直接 通信 ,这 样 
可 以 确保 本 组 资源 只 能 由 本 组 用 户 访问 。 
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8-6 利用 VLAN 实现 访问 控制 


目前 基于 VLAN 隔离 方式 的 访问 控制 方法 ,在 一 些 中 小 型 企业 中 也 得 到 广泛 应 用 。 例 
如 ,企业 中 的 人 事 部 和 财务 部 等 部 门 都 是 相对 来 说 安全 性 要 求 更 高 一 些 的 ,通常 不 允许 其 他 
部 门 用 户 随 意 访 问 .查阅 相关 资料 。 通 过 VLAN 方式 划分 后 ,两 个 部 门 的 网 络 数据 就 不 会 
被 其 他 用 户 访问 了 ,虽然 他 们 与 其 他 部 门 一 样 同 处 一 个 网 络 。 还 有 一 点 要 注意 的 是 ,虽然 别 
的 用 户 不 能 随意 访问 VLAN 组 用 户 , 但 VLAN 组 用 户 却 可 随意 访问 其 他 非 VLAN 组 用 
户 ,除非 也 做 了 访问 限制 配置 。 

不 同 的 交换 机 VLAN 划分 的 方法 不 尽 相 同 ,可 以 分 别 基于 端口 . MAC,IP 地 址 进行 。 

虽然 VLAN 隔离 方式 具有 比较 明显 的 优点 ,但 同时 也 有 一 个 非常 明显 的 缺点 , 那 就 是 
要 求 网 络 管理 员 必 须 明 确 交换 机 每 一 物理 端口 上 所 连接 设备 的 MAC 地 址 或 IP 地 址 ,并 要 
根据 不 同 的 工作 组 对 交换 机 进行 VLAN 配置 。 当 某 一 网 络 终端 的 网 卡 .IP 地 址 或 物理 位 
置 发 生变 化 时 ,需要 对 整个 网 络 系统 中 的 多 个 相关 的 网 络 设备 进行 重新 配置 ,这 同样 对 于 网 
管 员 来 说 负担 是 相当 重 的 ,所 以 只 适用 于 在 小 型 网 络 中 使 用 。 

在 安全 性 方面 也 存在 隐患 ,VLAN 技术 可 以 保证 网 络 设备 间 的 隔离 ,但 对 于 同一 台 服 
务 器 ,只 能 做 到 同时 向 多 个 VLAN 组 全 面 开放 或 只 向 某 个 VLAN 组 全 面 开放 ,而 不 能 针对 
个 别 用 户 进行 限制 。 而 在 通常 情况 下 ,一 台 服 务 器 会 提供 多 种 服务 ,担当 多 种 服务 器 角色 ， 
同时 为 多 个 VLAN 组 用 户 提 供 不 同 的 服务 ,这 样 带 来 了 一 定 的 安全 隐患 。 例 如 ,一 个 数据 
库 服务 器 中 可 能 存 有 财务 数据 ,也 可 能 同时 担当 市 场 部 电子 商务 中 服务 器 角色 , 存 有 客户 的 
数据 ,这 样 这 台 服 务 器 就 得 同时 向 财务 人 员 与 市 场 人 员 开 放 , 单 纯 采 用 VLAN 技术 就 无 法 
避免 市 场 人 员 查看 财务 数据 的 情况 发 生 。 当 然 这 种 安全 隐患 可 通过 其 他 途径 来 解决 。 


833 AQL 访 问 控制 列表 


访问 控制 列表 在 路 由 器 中 被 广泛 采用 ,是 一 种 基于 包 过 滤 的 流向 控制 技术 。 标 准 访问 
控制 列表 通过 把 源 地 址 、 目 的 地 址 以 及 端口 号 作为 数据 包 检 查 的 基本 元 素 ,并 可 以 规定 符合 
检查 条 件 的 数据 包 是 允许 通过 ,还 是 不 允许 通过 。 访 问 控制 列表 通常 应 用 在 企业 网 络 的 出 
口 控制 上 ,如 企业 通过 实施 访问 控制 列表 ,可 以 有 效 地 部 署 企业 网 络 出 网 策略 ,控制 哪些 员 
工 可 以 访问 Internet; 员工 可 以 访问 哪些 Internet 站 点 ; 员工 可 以 在 什么 时 候 访 问 
Internet; 员工 可 以 利用 Internet 收发 电子 邮件 而 不 可 以 进行 视频 聊天 活动 等 。 随 着 局 域 
网 内 部 网 络 资源 的 增加 ,一 些 企业 已 经 开始 使 用 访问 控制 列表 控制 对 局 域 网 内 部 资源 的 访 
问 能 力 ,进而 保障 这 些 资 源 的 安全 性 。 
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图 8-7 所 示 是 一 个 应 用 ACL 访问 控制 列表 的 示意 图 。 在 路 由 器 A 中 配置 一 个 访问 控 
制 列 表 ,ACL 访问 控制 列表 配置 允许 IP 地 址 为 192. 168. 2. 10 的 工作 站 通过 路 由 器 访问 其 
他 网 络 IP 地 址 为 192. 168. 5. 2 的 主机 ,而 子 网 192. 168. 1. 0 不 能 与 192. 168. 2. 10 及 192. 
168. 5.2 通信 。 


192.168.1.0 


ACL for RouterA 

192.168.1.0 
192.168.2.10 deny 
192.168.5.2 deny 
0.0.0.0 permit 

192.168.2.0 


本 
192.168.5.1 192.168.5.2 
图 8-7 路 由 器 的 访问 控制 列表 示例 




















访问 控制 列表 可 以 有 效 地 在 网 络 层 上 控制 网 络 用 户 对 网 络 资源 的 访问 , 既 可 以 细致 到 
两 台 网 络 设备 间 的 具体 的 网 络 应 用 ,也 可 以 按 网 段 进 行 大 范围 的 访问 控制 管理 ,为 网 络 应 用 
提供 了 一 个 有 效 的 安全 手段 。 

采用 访问 控制 列表 技术 ,网 络 管理 员 需 要 明确 每 一 台 主 机 及 工作 站 所 在 的 IP 子 网 ,并 
确认 它们 之 间 的 访问 关系 ,对 于 网 络 终端 数量 有 限 的 网 络 而 言 ,这 是 可 行 的 ,但 对 于 具有 大 
量 网 络 终端 的 网 络 而 言 ,为 了 完成 某 些 访问 控制 甚至 不 得 不 浪费 很 多 的 IP 地 址 资源 ,同时 
巨大 的 网 络 终端 数量 ,同样 会 使 得 管理 的 复杂 性 和 难度 十 分 巨大 。 

另外 ,维护 访问 控制 列表 不 仅 耗 时 ,而 且 较 大 程度 上 增加 了 路 由 器 开销 。 访 问 控制 列表 
的 策略 性 非常 强 , 并 且 与 网 络 的 整体 规划 有 很 大 的 关系 ,因此 , 它 的 使 用 对 策略 制定 及 网 络 
规划 的 人 员 要 求 比较 高 ,所 以 是 否 采用 访问 控制 列表 以 及 在 多 大 程度 上 利用 它 ,只 能 是 管理 
效益 与 网 络 安全 之 间 的 一 个 权衡 。 


834 防火 墙 访问 控制 


防火 墙 技术 首先 将 网 络 划 分 为 内 网 与 外 网 ,通过 分 析 每 一 项 内 网 与 外 网 通信 应 用 的 协 
议 构成 ,得 出 主机 IP 地 址 及 端口 号 ,从 而 规划 出 业务 流 , 对 相应 的 业务 流 进行 控制 。 
图 8-8 所 示 是 一 个 利用 防火 墙 控制 内 、 外 网 络 通信 的 基本 网 络 结构 。 

通过 对 防火 墙 的 配置 可 以 对 外 界 开 放 Web 服务 器 的 80 端口 ,因为 80 号 端口 是 Web 
应 用 的 HTTP 协议 使 用 的 端口 ,这 样 就 可 使 得 任何 用 户 都 可 以 访问 公司 的 网 站 。 在 邮件 服 
务 器 及 DNS 服务 器 上 也 开放 相应 的 端口 (如 POP 的 23 号 端口 和 SMTP 的 25 号 端口 ) ,在 
保证 相应 功能 实现 的 同时 ,也 确保 这 些 主机 不 会 受到 恶意 的 攻击 。 对 于 数据 库 服务 器 来 说 ， 
外 界 对 它 的 访问 将 受到 严格 的 限制 ,多 是 以 VPN 或 加 密 传输 的 专线 方式 进行 。 

防火 墙 技术 在 最 大 限度 上 限制 了 源 IP 地 址 、 目 的 IP 地 址 、 源 端口 号 、 目 的 端口 号 的 访 
问 权 限 ,从 而 限制 了 每 一 业务 流 的 通 断 。 它 要 求 网 络 管理 员 明确 每 一 业务 的 源 及 目标 地 址 、 
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Web 服 务 器 邮件 服务 器 DNS 服务 器 数据 库 服务 器 
图 8-8 应 用 防火 墙 实现 访问 控制 


以 及 该 业务 的 协议 甚至 端口 。 在 一 个 庞大 的 网 络 中 构造 一 个 有 效 的 防火 墙 ,也 需要 相当 大 
的 工作 量 与 技术 水 平 。 同 时 ,防火 墙 设备 如 果 要 达到 很 高 的 数据 吞吐 量 , 其 设备 造价 将 会 非 
常 高 ,通常 在 企业 应 用 中 都 只 能 用 于 整个 企业 的 出 口 安全 ,在 企业 网 内 部 的 安全 保护 方面 使 
用 较 少 。 

支持 VPN 通信 的 防火 墙 支 持 如 DES、3DES、RC4 以 及 国内 专用 的 数据 加 密 标 准 和 算 
法 。 加 密 除 用 于 保护 传输 数据 以 外 ,还 应 用 于 其 他 领域 ,如 身份 认证 、 报 文 完整 性 认证 , 密 钥 
分 配 等 。 支 持 的 用 户 身份 认证 类 型 指 防 火 墙 支持 的 身份 认证 协议 ,一 般 情况 下 具有 一 个 或 
多 个 认证 方案 ,如 RADIUS、Kerberos、TACACS/TACACS 十 、 密 码 方 式 、 数 字 证 书 等 。 防 
火 墙 能 够 为 本 地 或 远程 用 户 提供 经 过 认证 与 授权 的 对 网 络 资源 的 访问 ,防火 墙 管理 员 必 须 
决定 客户 以 何 种 方式 通过 认证 。 

还 可 对 通过 防火 墙 的 包 过 滤 规 则 进行 设置 。 包 过 滤 防 火 墙 的 过 滤 规 则 集 由 若干 条 规则 
组 成 ,涵盖 对 所 有 出 和 防火墙 的 数据 包 的 处 理 方法 。 对 于 没有 明确 定义 的 数据 包 ,应 该 有 一 
个 默认 处 理 方法 ; 过 滤 规 则 应 易于 理解 ,易于 编辑 修改 ; 同时 应 具备 一 致 性 检测 机 制 ,防止 
冲突 。 

防火 墙 中 的 IP 包 过 滤 依 据 主要 是 IP 包头 部 信息 ,如 源 地 址 和 目的 地 址 。 例 如 ,IP 头 
中 的 协议 字段 封装 协议 为 ICMP、TCP 或 UDP, 则 再 根据 ICMP 头 信息 (类 型 和 代码 值 )、 
TCP 头 信息 ( 源 端口 和 目的 端口 ) 或 UDP 头 信息 ( 源 端口 和 目的 端口 ) 执 行 过 滤 ,其 他 的 还 
有 MAC 地 址 过 滤 。 应 用 层 协议 过 滤 要 求 主要 包括 FTP 过 滤 .基于 RPC 的 应 用 服务 过 滤 、 
基于 UDP 的 应 用 服务 过 滤 要 求 以 及 动态 包 过 滤 技术 等 。 

以 上 几 种 访问 控制 方式 各 有 优 缺 点 ,由 于 它们 采用 的 技术 以 及 所 要 解决 问题 的 方向 相 
差 较 大 ,所 以 在 现实 的 网 络 安全 管理 中 ,通常 都 是 几 种 甚至 是 全 部 技术 的 组 合 。 


第 9 章 网 络 攻击 技术 


网 络 攻击 技术 是 一 把 双 刃 剑 。 对 攻击 者 而 言 , 它 是 攻击 技术 ,对 安全 人 员 来 说 , 它 是 不 
可 缺少 的 安全 防护 技术 。 

网 络 的 攻击 和 入 侵 都 是 指 通 过 非 授 权 的 行为 对 网 络 和 系统 造成 某 种 形式 的 危害 。 其 中 
攻击 倾向 于 对 网 络 或 者 系统 造成 破坏 ,如 拒绝 服务 攻击 ,让 服务 器 无 法 提供 服务 甚至 网 络 瘫 
痪 ; 而 入 侵 倾 向 于 获取 某 些 信息 而 不 对 系统 造成 破坏 ,如 获取 系统 的 控制 权力 。 

实际 上 现在 对 这 两 个 词 的 使 用 比较 混乱 ,并 没有 明显 区 分 。 在 本 书 除非 专门 说 明 , 并 没 
有 刻意 区 分 两 个 词 。 

对 系统 的 攻击 和 入 侵 , 都 是 利用 软件 或 系统 漏洞 进行 的 。 换 句 话说 ,如 果 一 个 系统 完美 
无 缺 ,并 且 在 此 系统 上 安装 的 所 有 软件 也 是 完美 的 ,同时 对 它们 的 管理 也 无 懈 可 击 。 那 么 ， 
就 不 存在 入 侵 和 攻击 行为 了 。 

但 是 ,这 种 情况 是 不 存在 的 ,从 前 不 存在 ,今后 也 不 可 能 存在 ,甚至 更 糟糕 。 这 是 由 人 们 
认识 世界 和 改造 世界 的 能 力 缺 陷 所 注定 的 。 人 们 设计 的 软 硬 件 产 品 是 不 可 能 不 留 下 任何 缺 
陷 和 漏洞 的 。 信 息 安 全 问题 永远 都 不 可 能 得 到 根本 的 解决 .信息 系统 始终 都 处 于 开放 和 安 
全 的 矛盾 之 中 。 然 而 ,从 哲学 的 观点 来 看 , 正 是 矛盾 , 才 是 发 展 的 根本 动力 。 

例如 ,今天 的 软件 系统 一 般 非 常 复杂 , 越 复杂 ,就 越 难 预测 它 在 各 种 可 能 场景 下 的 反应 
方式 ,也 就 越 难 保证 其 安全 性 。 

当今 操作 系统 应 用 程序 的 代码 行 数 越 来 越 多 。Windows XP 大 概 有 4000 万 行 代码 ， 
Windows 2000 有 2900 万 行 代 码 ; UNIX 和 Linux 少 一 些 , 通 常 在 200 万 行 代码 左 右 。 业 
界 通常 有 这 样 一 个 估算 方式 , 即 每 1000 行 代码 中 大 约 有 5 一 50 个 bug。 因 此 ,从 平均 意义 
上 估计 ,Windows XP 中 大 约 有 120 万 个 bug。 

试图 从 逻辑 上 理解 1700 万 一 4000 万 行 代码 并 增强 其 安全 性 ,难度 是 非常 大 的 。 如 果 
进一步 分 析 ,不 同 的 操作 系统 协议 栈 中 集成 了 数 以 千 计 的 协议 ,即使 这 些 协 议 中 存在 安全 漏 
洞 ,操作 系统 和 应 用 程序 也 必须 依赖 这 些 协 议 在 不 同 的 系统 和 应 用 程序 间 传 输 数据 ,这 必然 
造成 安全 隐患 。 另 外 ,设备 驱动 程序 由 不 同 厂商 开发 并 安装 到 操作 系统 中 ,在 许多 情况 下 ， 
这 些 驱动 开发 得 并 不 完美 .并 对 操作 系统 的 稳定 性 造成 了 影响 。 由 于 这 部 分 的 软件 更 加 接 
近 于 硬件 ,向 固件 注入 恶意 代码 ,已 经 成 为 了 一 种 流行 的 攻击 手段 。 

大 多 数 情 况 下 ,恶意 攻击 者 使 用 的 工具 和 安全 技术 人 员 是 相同 的 ,这 意味 着 安全 人 员 必 
须 了 解 攻击 者 使 用 的 工具 和 手段 ,知道 新 出 现 的 攻击 方式 ,不 断 更 新 自己 的 知识 和 技能 ,其 
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至 要 懂得 更 多 ,因为 安全 人 员 必 须 识 别 并 解决 某 一 环境 中 存在 的 所 有 漏洞 ,而 攻击 者 只 需要 
精通 一 到 两 种 攻击 方法 即 可 实施 攻击 。 
表 9-1 所 示 为 进行 一 次 完整 的 网 络 攻击 所 遵循 的 基本 步骤 。 


表 9-1 基本 的 网 络 攻击 步骤 


攻击 的 步骤 解 释 例 子 


侦查 被 动 或 主动 获取 信息 的 过 程 嗅 探 网 络 流量 ,查看 HTML 代码 ,社交 工程 , 获 
取 目 标 系统 的 一 切 信息 
扫描 及 漏洞 分 析 识别 所 运行 系统 和 系统 上 活动 ”Ping 扫描 ,端口 扫描 、 漏 洞 扫 描 
的 服务 ,从 中 找 出 可 攻击 的 弱点 
获取 访问 权限 攻击 识别 的 漏洞 ,以 获取 未 授权 ”利用 缓冲 区 溢出 或 者 暴力 破解 密码 ,并 登录 





的 访问 权限 系统 
保持 访问 权限 上 传 恶意 软件 ,以 确保 能 重新 进 ”在 系统 上 安装 后 门 
人 系统 
消除 痕迹 消除 恶意 活动 的 踪迹 删除 或 修改 系统 和 应 用 日 志 中 的 数据 


本 章 通 过 分 析 攻 击 的 几 个 步骤 ,描述 攻击 的 基本 过 程 和 防范 方式 。 

需要 说 明 的 是 ,本 章 用 到 了 几 个 词 : 黑客 ,安全 人 员 、 人 入侵 者 、 攻 击 者 。 这 几 个 词 所 代表 
的 群体 有 相似 之 处 也 有 不 同 之 处 。 

黑客 (hacker) 指 的 是 一 个 对 编程 语言 ( 某 领域 内 的 ) 有 足够 了 解 ,可 以 不 经 长 时 间 思 考 
就 能 创造 出 有 用 的 软件 的 人 。 在 本 章 中 ,黑客 单纯 指 试图 破解 或 破坏 某 个 程序 、 系 统 及 网 络 
安全 的 人 。 

安全 人 员 ,在 这 里 指 的 是 对 计算 机 或 整个 网 络 进行 管理 ,并 且 从 中 分 析出 安全 事件 的 
人 。 实 际 上 ,很 多 安全 从 业 人 员 曾 经 都 是 黑客 。 

入 侵 者 和 攻击 者 这 两 个 词 含 义 类 似 ,但 入 侵 者 更 加 侧重 于 偷偷 潜入 系统 ,而 攻击 者 的 含 
义 更 加 倾向 于 破坏 系统 。 本 章 也 没有 刻意 区 分 这 两 类 人 。 

另外 需要 注意 的 是 某 个 系统 是 安全 的 并 不 代表 这 个 系统 可 以 抵御 任何 攻击 行为 , 即 不 
存在 攻 不 破 的 保全 。 在 网 络 安 全 中 , 某 个 系统 只 要 让 入 侵 者 入 侵 系 统 时 所 付出 的 代价 大 于 
他 所 获得 的 利益 ,就 可 以 认为 这 个 系统 是 安全 的 。 


91 侦 查 


侦查 也 被 称 为 踩点 ,目的 是 发 现 目标 ,是 攻击 过 程 中 很 重要 的 一 部 分 。 在 没有 更 多 信息 
或 确切 目标 的 情况 下 , 则 需要 尽 可 能 多 地 发 现 目标 。 

黑客 通常 是 通过 对 某 个 目标 进行 有 计划 有 步骤 的 侦查 ,收集 和 整理 出 一 份 目标 站 点 信 
息 安全 现状 的 完整 剖析 图 ,结合 工具 的 配合 使 用 ,完成 对 整个 目标 的 详细 分 析 , 找 出 可 下 手 
的 地 方 。 

通过 侦查 主要 收集 以 下 可 用 信息 : 

(1) 网 络 域名 : 域名 系统 (domain name system,DNS) 网络 地 址 范围 .关键 系统 (如 重 
要 服务 器 、 网 关 等 ) 的 具体 位 置 。 
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(2) 内 部 网 络 : 跟 外 网 比较 相似 ,但 是 进入 内 网 以 后 主要 是 靠 工 具 和 扫描 来 完成 

(3) 外 部 网 络 : 目标 站 点 的 一 些 社会 信息 ,包括 企业 的 内 部 专用 网 ,一 般 以 vpn. 
objectsite. com 或 objectsite. com/vpn, 办 公 网 oa. objectsite. com 或 objectsite. com/oa 为 基 
本 形式 。 这 些 都 是 可 以 获得 目标 站 点 信息 的 主要 途径 。 通 过 搜索 引擎 (google、 baidu、 
sohu、yahoo 等 ) 获 得 企业 的 合作 伙伴 、 分 支 机 构 等 其 他 公开 资料 ,以 及 目标 站 点 里 面 的 用 户 
邮件 列表 、 即 时 消息 、 新 闻 消 息 、 员 工 的 个 人 资料 。 

以 上 都 是 入 侵 所 必需 的 重要 信息 ,也 是 第 一 步 。 另 外 ,还 需要 获取 目标 所 用 的 操作 系 
统 ,共有 两 种 类 型 的 操作 系统 侦查 : 被 动 操作 系统 侦查 和 主动 操作 系统 侦查 。 

被 动 操作 系统 侦查 主要 是 通过 嗅 探 网 络 上 的 数据 包 确定 发 送 数据 包 的 操作 系统 或 可 能 
接收 到 的 数据 包 的 操作 系统 ,其 优点 是 用 被 动 侦 查 攻击 或 嗅 探 主机 时 ,并 不 产生 附加 的 数据 
包 , 主 要 是 监听 并 分 析 ,一 般 操 作 是 先 攻陷 一 台 薄 弱 的 主机 ,在 本 地 网 段 内 嗅 探 数据 包 ,以 识 
别 被 攻陷 主机 能 够 接触 到 的 机 器 操作 系统 的 类 型 。 

主动 操作 系统 识别 是 主动 产生 针对 目标 机 器 的 数据 包 进行 分 析 和 回复 。 其 缺点 是 很 容 
易 惊 动 目 标 , 把 人 侵 者 暴露 给 入 侵 检测 系统 。 

操作 系统 的 识别 是 一 个 非常 重要 的 过 程 , 通 过 端口 搜索 检查 开放 的 端口 。 一 些 操 作 系 
统 默认 情况 下 监听 的 端口 与 其 他 操作 系统 不 同 , 因 此 如 果 搜 索 到 某 个 端口 ,那么 可 以 假定 相 
应 的 目标 机 器 在 运行 相对 应 的 某 个 操作 系统 。 为 了 对 付 这 种 方法 ,安全 人 员 可 以 通过 经 
改动 端口 以 增强 系统 的 安全 性 。 

另 一 个 方法 是 向 一 个 监听 服务 发 送 一 些 数据 ,并 预计 可 能 返回 的 可 识别 的 回应 和 错误 。 
某 些 操作 系统 可 能 会 发 送 一 个 可 唯一 识别 的 错误 代码 ,或 由 于 没有 严格 遵守 标准 以 至 于 可 
以 识别 。 还 有 一 个 方法 是 考察 TCP 协议 信息 , 某 些 操作 系统 使 用 了 不 同 的 默认 TCP 参数 ， 
各 种 不 同 的 TCP 标志 /数据 包头 的 组 合 会 以 特定 的 方式 进行 响应 。 有 时 候 ,ICMP 回应 信 
息 也 被 用 来 尝试 识别 特定 的 操作 系统 。 

在 一 些 扫描 工具 中 ,把 这 些 方法 集成 到 了 工具 中 ,如 nmap。 另 外 ,xprobe2 也 是 常用 的 
侦查 工具 。 

在 侦查 的 过 程 中 ,还 会 用 到 嗅 探 工具 ,这 些 工 具 能 从 某 些 网 络 介质 捕获 数据 包 , 甚 至 能 
够 看 到 数据 包 中 未 经 加 密 的 信息 。 通 过 分 析 这 些 信息 ,可 以 获取 相当 多 关于 目标 主机 的 信 
息 ,当然 也 可 能 会 包括 没有 经 过 加 密 的 用 户 名 、 密 码 等 。 在 后 面 的 实验 中 ,会 详细 地 讲述 
Ethereal 这 个 工具 的 使 用 。 

下 一 步骤 的 扫描 则 可 以 获取 更 多 信息 ,为 后 面 的 攻击 步骤 打下 基础 。 


92 扫 描 


黑客 技术 中 的 扫描 主要 指 通 过 固定 格式 的 询问 试探 主机 的 某 些 特征 的 过 程 ,而 提供 了 
扫描 功能 的 软件 工具 就 是 扫描 器 。 

扫描 器 对 不 同 的 使 用 者 来 说 ,其 意义 不 同 。 对 于 系统 管理 员 来 说 ,扫描 器 是 维护 系统 安 
全 的 得 力 助手 ; 对 于 黑客 而 言 ,扫描 器 是 最 基本 的 攻击 工具 ,有 一 句 话 可 以 充分 说 明 扫描 器 
对 黑客 的 重要 性 ,一 个 好 的 扫描 器 相当 于 数 百 个 合法 用 户 的 账户 信息 ”。 
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扫描 器 可 以 检测 远程 主机 和 本 地 系统 的 安全 性 ， 






































对 远程 主机 和 本 地 系统 进行 扫描 是 有 区 别 的 。 对 远程 [这 本 于 

主机 进行 扫 拉 属于 远程 扫 撞 , 印 扫 措 远程 主机 的 一 些 [| [| 
wp 二 检查 引擎 检测 规则 

外 部 特性 ,这 些 外 部 特性 是 由 远程 主机 开放 的 服务 决 [| 

定 的 。 对 本 地 系统 进行 扫 措 属于 本 地 扫 措 ,通常 是 以 

系统 管理 员 权限 进行 的 扫描 。 光 报 和 





大 多 数 扫描 器 按照 如 图 9-1 所 示 的 工作 流程 工 图 9-1 扫描 器 的 工作 流程 
作 。 其 类 型 主要 包括 端口 扫描 和 漏洞 扫描 。 


921 端口 扫描 


如 果 把 网 络 中 的 每 一 台 计算 机 比喻 成 一 座 城堡 ,那么 在 这 些 城堡 中 ,有 的 对 外 完全 开 
放 , 有 的 却 是 紧 锁 城 门 。 入 侵 者 们 是 如 何 找到 ,并 打开 它们 的 城 门 的 呢 ? 这 些 城 门 究竟 通 向 
城堡 的 何 处 呢 ? 

在 网 络 技术 中 ,把 这 些 城 堡 的 * 城 门 " 称 为 计算 机 的 “端口 "。 端 口 扫描 是 入 侵 者 搜集 信 
息 的 几 种 常用 手法 之 一 ,也 正 是 这 一 过 程 最 容易 使 人 侵 者 暴露 自己 的 身份 和 意图 。 一 般 来 
说 ,扫描 端口 的 主要 目的 是 判断 目标 主机 的 操作 系统 以 及 开放 了 哪些 服务 。 如 果 入 侵 者 掌 
握 了 目标 主机 开放 了 哪些 服务 ,运行 何 种 操作 系统 ,他 们 就 能 够 使 用 相应 的 手段 实现 人 侵 。 


1. 端口 的 基本 概念 


“端口 "在 计算 机 网 络 领域 中 是 个 非常 重要 的 概念 。 它 是 专门 为 计算 机 通信 而 设计 的 ， 
它 不 是 硬件 ,不 同 于 计算 机 中 的 * 搬 槽 ”, 可 以 说 是 个 “ 软 搬 模 >。 如 果 有 需要 的 话 , 一 台 计 算 
机 中 可 以 有 上 万 个 端口 。 

端口 是 由 计算 机 的 通信 协议 TCP/IP 协议 定义 的 。 其 中 规定 ,用 IP 地 址 和 端口 作为 套 
接 字 ,代表 TCP 连接 的 一 个 连接 端 , 一 般 称 为 Socket。 具 体 来 说 ,就 是 用 [IP: 端口 ] 定 位 一 
台 主 机 中 的 进程 。 可 以 做 这 样 的 比喻 ,端口 相当 于 两 台 计算 机 进程 间 的 大 门 , 可 以 随便 定 
义 ,其 目的 只 是 为 了 让 两 台 计 算 机 能 够 找到 对 方 的 进程 。 计 算 机 就 像 一 座 大 楼 ,这 个 大 楼 有 
很 多 人 口 ( 端 口 ) , 进 到 不 同 的 入 口中 就 可 以 找到 不 同 的 公司 (进程 )。 如 果 要 和 远程 主机 A 
的 程序 通信 ,那么 只 要 把 数据 发 向 LA: 端口 ] 就 可 以 实现 通信 了 。 

可 见 ,端口 与 进程 是 一 一 对 应 的 ,如 果 某 个 进程 正在 等 待 连接 , 称 之 为 该 进程 正在 监听 ， 
那么 就 会 出 现 与 它 相 对 应 的 端口 。 由 此 可 见 , 入 侵 者 通过 扫描 端口 , 便 可 以 判断 出 目标 计算 
机 有 哪些 通信 进程 正在 等 待 连接 。 


2. 端口 的 分 类 


端口 是 一 个 16 位 的 地 址 ,用 端口 号 进行 标识 不 同 作用 的 端口 。 端 口 一 般 分 为 两 类 。 

熟知 端口 (公认 端口 ) : 由 因特网 指派 名 字 和 号 码 公司 ICANN 负责 分 配给 一 些 常 用 的 
应 用 层 程序 固定 使 用 的 熟知 端口 ,端口 号 一 般 为 0 一 1023。 表 9-2 和 表 9-3 所 示 常 见 的 熟知 
端口 。 

一 般 端口 : 用 来 随时 分 配给 请 求 通信 的 客户 进程 。 
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表 9-2 常见 TCP 熟知 端口 





服务 名 称 端口 号 说 明 
FTP 21 文件 传送 服务 
Telnet 23 远程 登录 服务 
HTTP 80 超 文 本 传送 协议 
POP3 110 邮件 服务 
SMTP 25 简单 邮件 传送 协议 
Socks 1080 代理 服务 


表 9-3 常见 UDP 熟知 端口 





服务 名 称 端口 号 说 明 
RPC 111 远程 调用 
SNMP 161 简单 网 络 管理 协议 
TFTP 69 简单 文件 传输 


人 侵 者 如 果 想 要 探测 目标 计算 机 开放 了 哪些 端口 .提供 了 哪些 服务 ,就 需要 先 与 目标 端 
口 建立 TCP 连接 ,这 也 就 是 “扫描 ”的 出 发 点 。 

尝试 与 目标 主机 的 某 些 端口 建立 连接 ,如 果 目 标 主机 该 端口 有 回复 (参考 TCP 三 次 握 
手中 的 第 二 次 ), 则 说 明 该 端口 开放 , 即 为 “活动 端口 ”。 

具体 地 ,有 如 下 几 种 扫描 方法 : 

1) 全 TCP 连接 

全 TCP 连接 扫描 使 用 三 次 握手 ,与 目标 计算 机 建立 标准 的 TCP 连接。 需要 说 明 的 是 ， 
这 种 古老 的 扫描 方法 很 容易 被 目标 主机 发 觉 并 记录 。 

2) 半 开 式 扫描 (SYN 扫描 ) 

在 半 开 式 扫描 中 ,扫描 主机 自动 向 目标 计算 机 的 指定 端口 发 送 SYN 数据 段 , 表 示 发 送 
建立 连接 请 求 。 

(1) 如 果 目 标 计 算 机 的 回应 TCP 报 文 中 SYN=1,ACK=1, 则 说 明 该 端口 是 活动 的 ， 
接着 扫描 主机 传送 一 个 RST 给 目标 主机 拒绝 建立 TCP 连接 ,从 而 导致 三 次 握手 过 程 的 
失败 。 

(2) 如 果 目 标 计 算 机 的 回应 是 RST, 则 表示 该 端口 为 “ 死 端 口 ”", 这 种 情况 下 ,扫描 主机 
不 用 做 任何 回应 。 

由 于 扫描 过 程 中 全 连接 尚未 建立 ,所 以 大 大 降低 了 被 目标 计算 机 的 记录 的 可 能 性 ,并 且 
加 快 了 扫描 的 速度 。 

3) FIN 扫描 

在 TCP 报 文 首部 中 ,有 一 个 字段 为 FIN,FIN 扫描 则 依靠 发 送 FIN 判断 目标 计算 机 的 
指定 端口 是 否 活动 。 

发 送 一 个 FIN=1 的 TCP 报 文 到 一 个 关闭 的 端口 时 ,该 报 文 会 被 丢掉 ,并 返回 一 个 
RST 报 文 。 但 是 ,如 果 当 FIN 报 文 发 到 一 个 活动 的 端口 时 ,该 报 文 只 是 简单 地 被 丢掉 ,不 会 
返回 任何 回应 。 

从 FIN 扫描 可 以 看 出 ,这 种 扫描 没有 涉及 任何 TCP 连接 部 分 ,因此 ,这 种 扫描 比 前 两 
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种 都 安全 ,可 以 称 之 为 秘密 扫描 。 

4) 第 三 方 扫描 

第 三 方 扫描 又 称 “ 代 理 扫描 ”, 这 种 扫描 是 控制 第 三 方 主机 代替 入 侵 者 进行 扫描 。 这 个 
第 三 方 主机 一 般 是 入 侵 者 通过 入 侵 其 他 计算 机 而 得 到 的 ,该 “第 三 方 ” 主 机 常 被 入 侵 者 称 为 
“肉鸡 ”。 这 些 “ 肉 鸡 ” 一 般 为 安全 防御 系数 极 低 的 个 人 计算 机 。 严 格 来 说 , 它 的 扫描 方式 还 
是 以 上 三 种 中 的 某 一 种 ,但 即使 被 对 方 发 现 ,对 方 也 无 法 准确 得 知人 侵 者 的 真实 IP 地 址 和 
身份 ,所 以 更 加 隐蔽 。 


922 漏洞 扫描 


漏洞 是 软件 系统 在 开发 过 程 中 留 下 的 缺陷 。 由 于 研发 人 员 自身 的 局 限 性 ,漏洞 的 产生 
是 不 可 避免 的 。 


1. 漏洞 概述 


虽然 目前 在 软件 开发 的 过 程 中 越 来 越 重视 软件 测试 ,测试 所 耗费 的 资源 甚至 超过 了 开 
发 。 但 无 论 从 理论 上 还 是 工程 上 都 没有 任何 人 敢 声 称 能 够 彻底 消灭 软件 中 的 所 有 逻辑 缺 
陷 一 一 bug。 

在 各 种 各 样 的 软件 逻辑 缺陷 中 ,有 一 部 分 会 引起 非常 严重 的 后 果 , 把 会 引起 软件 做 一 些 
超出 设计 范围 事情 的 bug 称 为 漏洞 。 

漏洞 往往 是 病毒 木马 入 侵 计 算 机 的 突破 口 。 如 果 掌 握 了 漏洞 的 技术 细节 ,能 够 写 出 漏 
洞 利用 (exploit) 程 序 ,往往 可 以 让 目标 主机 执行 任意 代码 。 

已 发 布 软件 里 的 漏洞 分 为 已 经 被 发 现 的 漏洞 和 未 被 发 现 的 漏洞 。 

如 果 病 毒 利用 非常 严重 的 系统 漏洞 进行 传播 ,可 能 很 多 计算 机 将 在 劫难 逃 。 因 为 系统 
漏洞 可 以 引起 计算 机 被 远程 控制 ,病毒 感染 。 例 如 ,横扫 世界 的 冲击 波 蠕虫 、Slamer 蠕虫 等 
就 是 这 种 类 型 的 病毒 。 

如 果 服 务 器 软件 存在 安全 漏洞 .或 系统 中 可 以 被 RPC 远程 调用 的 函数 中 存在 缓冲 区 溢 
出 漏洞 ,攻击 者 也 可 以 发 起 “主动 ”进攻 。 

如 果 浏 览 器 在 解析 HTML 文件 时 存在 缓冲 区 溢出 漏洞 ,那么 攻击 者 就 可 以 精心 构造 
一 个 承载 着 恶意 代码 的 HTML 文件 , 当 有 人 单 击 这 种 链接 时 ,漏洞 被 触发 从 而 导致 HTML 
中 所 承载 的 恶意 代码 被 执行 。 这 段 代 码 通常 是 在 没有 任何 提示 的 情况 下 去 指定 的 地 方 下 载 
木马 客户 端 并 运行 。 

此 外 ,第 三 方 软件 所 加 载 的 ActiveX 控件 中 的 漏洞 也 是 被 “木马 ?所 经 常 利用 的 对 象 。 
Word 文档 PowerPoint 文档 .Excel 表格 文档 虽然 并 非 可 执行 文件 ,但 它们 同样 导致 恶意 代 
码 的 执行 。 这 类 文档 本 身 虽然 是 数据 文件 ,但 是 如 果 Office 软件 在 解析 这 些 数 据 文件 的 特 
定数 据 结 构 时 存在 缓冲 区 溢出 漏洞 的 话 , 攻 击 者 就 可 以 通过 一 个 精心 构造 的 Word 文档 来 
触发 并 利用 漏洞 。 当 用 Office 软件 打开 这 个 Word 文档 的 时 候 ,一 段 恶意 代码 可 能 已 经 悄 
无 声息 地 被 执行 过 了 。 

软件 漏洞 的 技术 细节 是 非常 宝贵 的 资料 ,尤其 是 当 软 件 漏洞 对 应 的 官方 补丁 尚未 发 布 
时 ,只 有 少数 攻击 者 秘密 的 掌握 漏洞 及 其 利用 方法 ,这 时 往往 可 以 通过 漏洞 入 侵 并 破坏 任意 
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一 台 Internet 上 的 主机 。 

未 被 公开 的 漏洞 被 称 作 zero day (0 day)。 可 以 把 0 day 理解 成 未 公开 的 系统 后 门 。 由 
于 0 day 的 特殊 性 质 和 价值 ,使 得 很 多 研究 者 和 攻击 者 投身 于 漏洞 挖掘 的 行列 。 一 个 0 day 
漏洞 的 资料 根据 其 影响 程度 的 不 同 , 在 黑市 上 可 以 卖 到 从 几 千 元 到 几 十 万 元 不 等 的 价钱 。 
因此 0 day 一 旦 被 发 现 往往 会 被 当 作 商业 机 密 ,甚至 军事 机 密 。 

为 了 防范 这 种 漏洞 ,最 好 的 办 法 是 及 时 为 操作 系统 和 服务 打 补 丁 。 所 谓 补丁 ,是 软件 公 
司 为 已 发 现 的 漏洞 所 作 的 修复 行为 。 如 果 厂 商 能 够 迅速 发 布 补丁 ,那么 就 能 够 避免 应 用 程 
序 因 为 有 漏洞 而 长 期 暴露 在 不 安全 因素 下 。 对 于 有 些 漏洞 还 没有 打 补丁 ,就 要 依靠 其 他 一 
些 安全 手段 ,如 防火 墙 和 和 人 侵 检测 系统 ,以 及 安全 人 员 的 经 验 。 例 如 ,安全 人 员 可 以 考虑 , 目 
前 机 器 上 所 开放 的 服务 是 否 为 必需 的 ,如 果 不 是 ,把 它 关 闭 。 服 务 可 以 公开 访问 吗 ? 如 果 不 
能 , 则 用 防火 墙 隔离 。 所 有 不 安全 的 选项 都 关闭 了 吗 ? 如 果 没 有 , 则 关闭 。 


2. 漏洞 扫描 


漏洞 扫描 通常 通过 漏洞 扫描 器 执行 。 漏 洞 扫描 器 是 通过 在 内 部 放置 已 知 漏洞 的 特征 ， 
然后 把 被 扫描 系统 特征 和 已 知 漏洞 相 比 对 ,从 而 获取 被 扫描 系统 漏洞 的 过 程 。 

需要 注意 的 是 ,漏洞 扫描 只 能 找 出 目标 机 上 已 经 被 发 现 并 且 公 开 的 漏洞 ,不 能 找 出 还 未 
被 发 现 的 漏洞 ,并 且 只 能 扫描 出 在 扫描 器 中 已 经 存在 特征 码 的 漏洞 。 

扫描 器 进行 远程 扫描 时 ,针对 远程 主机 开放 的 端口 与 服务 进行 探测 ,获取 并 记录 相关 的 
应 答 信 息 ,对 应 答 信 息 进行 筛选 和 分 析 后 ,再 与 扫描 器 自 带 的 漏洞 信息 库 中 的 信息 进行 比 
较 , 如 果 一 致 , 则 确定 远程 系统 存在 相应 的 漏洞 。 

扫描 器 进行 本 地 扫描 时 ,会 以 系统 管理 员 的 权限 在 本 地 机 上 运行 ,记录 系统 配置 中 的 各 
项 主要 参数 ,分 析 配 置 上 存在 的 漏洞 。 

通过 以 上 介绍 可 以 发 现 本 地 扫描 和 远程 扫描 之 间 的 另 一 个 差别 : 远程 扫描 时 ,扫描 器 
所 收集 的 信息 与 自 带 漏洞 信息 库 中 的 信息 一 致 时 即 确定 为 存在 相应 的 漏洞 ;而 本 地 扫描 则 
正好 相反 ,不一致 时 确定 存在 相应 的 系统 漏洞 。 

应 该 及 时 更 新 扫描 器 的 版 本 ,一般 的 发 布 顺序 是 系统 漏洞 首先 被 披露 ,然后 是 相关 的 补 
丁 程序 ,最 后 才 是 扫描 器 。 尽 管 如 此 ,用 户 打 补丁 并 不 一 定 及 时 ,因此 下 载 扫描 器 的 高 版 本 
是 十 分 重要 的 。 

另外 可 以 用 多 种 扫描 器 的 搭配 使 用 ,由 于 扫描 器 设计 与 编写 目的 的 不 同 ,各 自 的 功能 和 
性 能 往往 会 有 一 定 的 差别 。 以 扫描 被 控制 了 的 远程 主机 为 例 (这 个 过 程 也 被 戏称 作 “ 抓 肉 
鸡 ”), 可 以 先 使 用 一 些 扫 描 速度 快 但 功能 少 的 扫描 器 扫描 多 个 网 段 中 远程 主机 ,随后 使 用 一 
些 扫 描 速 度 慢 但 功能 强 的 扫描 器 重点 扫描 其 中 的 一 部 分 主机 ,最 后 确定 对 哪些 远程 主机 进 
行人 侵 。 

扫描 器 归根 结 底 是 扫描 方法 的 集合 ,扫描 器 的 出 现 极 大 地 方便 了 用 户 ,但 扫描 器 并 不 是 
万 能 的 。 对 于 系统 管理 员 而 言 ,对 具体 的 扫描 方法 也 要 有 一 定 的 了 解 与 掌握 ,如 某 个 漏洞 刚 
被 发 现时 , 它 对 应 的 扫描 器 往往 不 会 同期 被 发 布 ,漏洞 的 存在 对 系统 构成 了 潜在 的 威胁 ,这 
种 情况 下 ,可 以 通过 端口 检测 等 一 些 扫描 方法 加 以 检查 。 
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923 实用 扫描 器 简介 


虽然 对 扫描 有 多 种 分 类 ,例如 弱 密码 扫描 系统 漏洞 扫描 主机 服务 扫描 等 数 十 种 方式 ， 
但 归根 结 底 还 是 寻找 系统 或 网 络 的 漏洞 ,所 以 可 以 归 到 漏洞 扫描 一 类 。 

早期 的 扫描 器 大 多 是 专用 的 , 即 一 种 扫描 器 只 能 扫描 一 种 特定 的 信息 。 随 着 网 络 的 发 
展 ,各 种 系统 漏洞 被 越 来 越 多 的 发 现 , 扫 描 器 的 种 类 也 随 之 增多 ,为 了 简化 扫描 过 程 ,人 们 把 众 
多 的 扫描 器 集成 为 一 个 扫描 器 。 目 前 ,正在 使 用 的 扫描 器 中 , 绝 大 多 数 都 是 这 种 综合 扫描 器 。 

单 从 危害 来 看 ,黑客 进行 对 远程 主机 进行 本 地 扫描 的 危害 更 大 ,这 时 说 明 黑 客 已 经 侵入 
了 系统 。 此 时 ,查找 出 黑客 打开 的 后 门 并 加 以 封锁 是 亡羊补牢 成 功 与 否 的 关键 。 

此 外 ,对 于 远程 扫描 无 法 主动 防范 ,因为 远程 扫描 可 能 存在 于 网 络 的 任何 一 个 位 置 上 。 
关闭 不 必要 的 服务 与 端口 、 及 时 安装 各 种 补丁 程序 可 以 从 一 定 程度 上 减少 远程 扫描 带 来 的 
安全 隐患 。 

X-Scan 和 “流光 ”是 国内 最 有 名 的 两 款 扫描 工具 。 


1. 扫描 器 X-Scan 


X-Scan 是 国内 最 著名 的 综合 扫描 器 之 一 , 它 完全 免费 ,是 不 需要 安装 的 绿色 软件 ,界面 
支持 中 文 和 英文 两 种 语言 ,包括 图 形 界面 和 命令 行 方式 ,主要 由 国内 著名 的 网 络 安全 组 织 
“安全 焦点 "(http://www. xfocus. net) 完 成 。X-Scan 把 扫描 报告 和 安全 焦点 网 站 相连 接 ， 
对 扫描 到 的 每 个 漏洞 进行 风险 等 级 评估 ,并 提供 漏洞 描述 .漏洞 溢出 程序 ,方便 网 管 测 试 、 修 
补漏 洞 。X-Scan 的 运行 界面 如 图 9-2 所 示 。 

% X-Scan v3.3 GUT 

文件 (W) 设置 (Ww) 查看 (工具 (Y) Language 帮助 (2 
BJPWem| 国 | 国 当 | 回 
普通 信息 | 漏洞 信息 | 桂 误 信息 | 

-Sean-v3.3 使 用 说 明 

一， 系统 要 求 : Windows 机 /2000/XP/2003 


ndows_ 取 系列 哲 作 系统 ， 推 荐 运行 于 Windows 
erver 版 indows 系 统 。 


我 们 结 出 


i 





9-2 X-Scan 的 运行 界面 


X-Scan 能 够 实现 下 列 漏洞 的 扫描 : 

(1) 能 够 扫描 出 NT-Server 弱 密 码 : 探测 NT 主机 用 户 名 密码 是 否 过 于 简单 。 

(2) NetBIOS 信息 : NetBIOS( 网 络 基本 输入 输出 协议 ) 通 过 139 端口 提供 服务 。 默 认 
情况 下 存在 。 可 以 通过 NetBIOS 获取 远程 主机 信息 。 

(3) SNMP 信息 : 探测 目标 主机 的 SNMP( 简 单 网 络 管理 协议 ) 信 息 。 通 过 对 这 一 项 的 
扫描 ,可 以 检查 出 目标 主机 在 SNMP 中 不 正当 的 设置 。 


第 9 章 网 络 攻击 技术 159 





(4) FTP 弱 密 码 : 探测 FTP 服务 器 (文件 传输 服务 器 ) 上 密码 设置 是 否 过 于 简单 或 允 
许 匿 名 登录 。 

(5) SQL-Server 弱 密 码 : 如 果 SQL-Server( 数 据 库 服务 器 ) 的 管理 员 密 码 采 用 默认 设 
置 或 设置 过 于 简单 ,如 123、abc 等 ,就 会 被 X-Scan 扫描 出 SQL-Server 弱 密 码 。 

(6) POP3 弱 密 码 : POP3 是 一 种 邮件 服务 协议 ,专门 用 来 为 用 户 接收 邮件 。 选 择 该 项 
后 ,X-Scan 会 探测 目标 主机 是 否 存 在 POP3 弱 密 码 。 

(7) SMTP 漏洞 : SMTP( 简 单 邮件 传输 协议 ) 漏 洞 指 SMTP 协议 在 实现 过 程 中 的 出 现 
的 缺陷 。 


2. 流光 


“流光 ”的 运行 界面 如 图 9-3 所 示 。“ 流 光 ” 软 件 可 以 探测 POP3、FTP、HTTP、Proxy、 
Form、SQL、SMTP、IPC$ 等 各 种 漏洞 ,并 针对 各 种 漏洞 设计 了 不 同 的 解决 方案 ,能 够 在 有 
漏洞 的 系统 上 轻易 得 到 被 探测 的 用 户 密码 。 除 了 能 够 像 X-Scan 那样 扫描 众多 漏洞 弱 密 码 
外 , 它 还 集成 了 常用 的 入 侵 工 具 , 如 字典 工具 .NTVIIS 工具 等 ,还 独创 了 能 够 控制 第 三 方 主 
机 进行 扫描 的 “流光 Sensor 工具 ”和 为 第 三 方 主机 安装 服务 的 “种 植 者 ”工具 。 


BE ED TE) 








5 口 更 目标 主机 
口 购 Pop3 主机 
口 吨 Imap 主机 
口 仿 Fr 主机 
口 @ hrp 主 机 
口 答 Prow 主 机 
口 品 Fo 主机 
口 吉 ssQt 主机 























国 区 软件 实验 室 1995-2002 小 榨 作 品 版 权 所 有 
IE 主机 














图 9-3 “流光 ”运行 界面 


93 获取 访问 权限 


网 络 攻击 的 第 二 个 步骤 是 利用 上 个 步骤 找到 的 漏洞 ,获取 系统 访问 权限 。 有 的 漏洞 可 
以 用 来 实现 人 侵 或 攻击 行为 。 作 为 安全 人 员 ,应 该 了 解 某 个 漏洞 是 否 是 可 被 攻击 的 。 有 时 
候 虽 然 无 法 找到 利用 该 漏洞 攻击 的 方法 ,不 意味 其 他 人 也 找 不 到 ,这 只 是 时 间 和 技术 水 平 的 
问题 。 





160 信息 安全 原理 及 应 用 (第 3 版 ) 





一 般 来 说 ,通过 漏洞 扫描 器 所 找到 的 漏洞 ,往往 都 是 可 以 被 入侵 者 所 利用 的 漏洞 。 
931 缓冲 区 溢出 


缓冲 区 溢出 是 一 种 重要 的 人 侵 方 法 , 常 被 和 人 侵 者 用 于 非法 获取 访问 权限 。 
1. 溢出 原理 


最 典型 的 漏洞 利用 方法 是 利用 漏洞 实现 缓冲 区 溢出 ,以 达到 获取 系统 访问 权限 的 目的 。 
缓冲 区 溢出 就 好 比 是 把 2 升 的 水 倒 入 1 升 的 水 缸 中 ,肯定 会 有 一 部 分 水 洪 出 并 且 造 成 混乱 。 

内 存 缓冲 区 用 来 存储 数据 ,而 缓冲 区 自身 缺乏 相关 的 机 制 来 防止 在 保留 空间 内 放 和 人 过 
多 的 数据 。 实 际 上 ,如 果 程 序 员 比较 粗心 ,数据 可 能 很 快 超出 分 配 的 空间 。 例 如 ,以 下 语句 
声明 了 一 个 在 内 存 中 占 10 个 字 节 的 字符 串 : 


Char str1[10]; 


编译 器 为 缓冲 区 划分 了 10 个 字 节 大 小 的 空间 ,从 strl[0] 一 strl[9], 每 个 都 分 别 占用 
一 个 字 节 的 空间 。 那 么 ,执行 下 列 请 句 : 


Strcpy(Str1，'RRRRRRRRRRRRRRRRRRRRRR' ) 7 


则 会 造成 缓冲 区 洲 出 。 因 为 strcpy 这 个 函数 根本 就 不 会 检查 后 面 的 字符 串 是 否 比 strl 所 
分 配 的 空间 要 大 。 当 然 , 这 种 溢出 比较 明显 ,程序 员 很 容易 发 现 。 假 设 采 用 的 语句 是 : 


Strl[i] = A'; 


那么 ,直到 i 在 执行 过 程 中 被 设置 成 一 个 大 到 越界 的 下 标 之 前 ,都 无 法 检查 出 这 个 错误 。 如 
果 在 执行 过 程 中 ,系统 能 产生 一 个 下 标 越界 错误 的 警告 即 可 发 现 溢出 ,但 遗憾 的 是 ,在 一 些 
语言 中 ,如 C 语言 ,很 多 情况 下 都 不 检查 缓冲 区 大 小 ,也 不 检查 越界 。 

如 果 更 加 深入 地 研究 ,潜在 的 缓冲 区 溢出 只 有 在 某 些 情况 下 才能 造成 严重 的 后 果 , 这 取 
决 于 临近 strl 数组 的 内 容 是 什么 。 例 如 ,假定 strl 数组 的 10 个 元 素 都 用 字母 A 填充 ,错误 
的 越界 填充 则 用 字母 B, 程 序 如 下 : 

For(i=0; i<=9; i++) 

Stri[i]= 'A'; 

Strl[10] = 'B'; 

执行 过 程 中 ,所 有 程序 和 数据 元 素 都 在 内 存 中 ,它们 与 操作 系统 .其 他 代码 和 常 驻 程序 
共享 内 存 空 间 , 所 以 B 的 存储 位 置 有 4 种 情形 : 

(1) 如 果 这 个 额外 的 字符 B 溢出 到 用 户 的 数据 空间 ,如 图 9-4 所 示 。 它 仅仅 会 覆盖 一 
个 存在 的 变量 值 ,也 可 能 会 写 到 一 个 还 未 使 用 的 位 置 ,可 能 会 影响 程序 的 运行 结果 ,但 不 会 
影响 其 他 的 程序 或 数据 。 

用 户 数据 用 户 数据 


二 
内 存 : AlAIAIAIAIAIAlAlAlAlB 


图 9-4 溢出 影响 用 户 的 数据 
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(2) 如 果 B 被 送 到 用 户 的 程序 区 域 , 如 图 9-5 所 示 。 如 果 它 覆盖 了 一 条 已 执行 的 指令 ， 
且 该 指令 以 后 都 不 会 再 执行 ,用 户 不 会 觉察 到 影响 。 如 果 它 覆盖 的 是 一 条 还 没有 执行 的 指 
令 , 由 于 B 的 内 码 是 0x42, 机 器 会 尝试 执行 操作 码 为 0x42 的 指令 。 如 果 这 个 操作 码 为 
0x42 的 指令 并 不 存在 ,系统 会 由 于 一 个 非法 指令 异常 而 停机 。 结 果 出 现 段 错误 ,程序 崩溃 。 
如 果 该 指令 存在 ,机 器 就 会 执行 它 ,运行 结果 取决 于 上 下 文 含义 。 
用 户 数据 用 户 程序 代码 。 


一 











内 存 : AlAlAlalalalalAlalale 






































9-5 溢出 影响 用 户 的 代码 


(3) 如 果 数 组 后 面 紧 跟着 系统 数据 ,如 图 9-6 所 示 。 和 溢出 到 用 户 空间 的 流程 类 似 , 但 
造成 的 后 果 更 严重 。 这 种 情形 下 ,B 覆盖 了 系统 的 数据 空间 ,可 能 是 一 个 存在 的 变量 值 , 可 
能 会 让 系统 用 错误 的 数值 进行 计算 。 


用 户 数据 系统 数据 。 











内 存 : |^ AlA AlA AlA|A|A|^ 


























9-6 ”溢出 影响 系统 数据 


(4) 如 果 数 组 后 面 紧 跟着 系统 代码 ,如 图 9-7 所 示 。 系 统 可 能 会 执行 操作 码 为 0x42 的 
指令 。 但 是 假如 覆盖 系统 程序 代码 的 数值 不 是 字母 B, 而 是 精心 设计 的 一 段 代码 ,结果 则 可 
能 是 系统 执行 了 那 段 代码 。 


用 户 数 据 系统 程序 代码 。 











-> 
wi: | 国人 


LE 





9-7 溢出 影响 系统 代码 


所 以 溢出 的 结果 一 般 有 如 下 几 种 情况 : 

第 一 种 情况 是 拒绝 服务 。 也 就 是 可 能 出 现 内 存 访 问 违例 ,出 现 段 错误 ,程序 崩溃 。 第 二 
种 情况 是 ,当下 一 条 需要 执行 的 指令 被 改写 后 ,以 普通 用 户 的 身份 执行 了 恶意 代码 。 第 三 种 
情况 ,也 是 最 坏 的 情况 ,是 下 一 条 指令 被 改写 后 ,在 系统 级 别 执 行 了 恶意 代码 ,这 里 的 恶意 代 
码 往往 是 Shellcode。 

Shellcode 是 一 段 代码 (也 可 以 是 填充 数据 ), 是 用 来 发 送 到 服务 器 利用 特定 漏洞 的 代 
码 ,一般 可 以 获取 权限 。 另 外 ,Shellcode 一 般 是 作为 数据 发 送 给 被 攻击 方 的 。 


2. 溢出 实例 
下 面 以 一 个 实例 来 了 解 缓冲 区 溢出 引起 的 恶性 后 果 : 


#include< stdio.h> 
# define PASSWORD "1234567" 
int verify password (char * password) 
{ 
int authenticated; 
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char buffer[8]; // add local buff to be overflowed 
authenticated = strcmp(password, PASSWORD) ; 
strcpy(buffer, password); //over flowed here! 
return authenticated; 
} 
main() 
{ 
int valid flag= 0; 
char password[ 1024]; 
while(1) 
{ 
printf("please input password: Ss 
scanf(" % s",password); 
valid flag = verify password(password); 
if(valid flag) 


{ 
printf("incorrect password! \n\n"); 
} 

else 

{ 
printf("Congratulation! You have passed the verification! \n"); 
break; 

} 

} 
} 


程序 运行 后 将 提示 输入 密码 。 用 户 输入 的 密码 将 被 程序 与 宏 定义 中 的 1234567 比较 ， 
如 果 密 码 错误 ,提示 验证 错误 ,并 提示 用 户 重 新 输入 ; 如 果 密 码 正确 ,提示 正确 ,程序 退出 。 

代码 用 TC3.0 编译 链接 ,生成 可 执行 文件 。 按 照 程序 的 设计 思路 ,只 有 输入 了 正确 的 
密码 1234567 之 后 才能 通过 验证 。 程 序 运 行情 况 如 图 9-8 所 示 。 


EEC gl 对 


please input password: 1234567 
ongratulationt You have passed the verificationt 
4 


lease input password: B1234567 
incorrect password! 


please input password: 





图 9-8 缓冲 区 溢出 测试 

















在 这 段 程序 中 ,漏洞 在 于 verify_password 函数 中 的 strcpy(buffer,password) 调 用 。 
于 程序 将 把 用 户 输入 的 字符 串 原 封 不 动 地 复制 到 verify_password 函数 的 局 部 数组 char 
bufferL8] 中 ,但 用 户 的 字符 串 可 能 大 于 8 个 字符 。 当 用 户 输入 大 于 8 个 字符 的 缓冲 区 尺寸 
时 ,缓冲 区 就 会 溢出 , 即 所 谓 的 缓冲 区 溢出 漏洞 。 

根据 缓冲 区 溢出 发 生 的 具体 情况 ,巧妙 地 填充 缓冲 区 不 但 可 以 避免 崩溃 ,还 能 影响 到 程 
序 的 执行 流程 ,甚至 让 程序 去 执行 缓冲 区 里 的 代码 。 

函数 verify_password 中 申请 了 两 个 局 部 变量 : int authenticated 和 char buffer[8]。 当 
verify_password() 被 调用 时 ,系统 会 给 它 分 配 一 片 连续 的 内 存 空间 ,这 两 个 变量 就 分 布 在 那 
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里 (实际 上 就 叫 丽 数 栈 帧 ) ,如 图 9-9 所 示 。 i 

用 户 输入 的 字符 串 将 复制 到 buffer [8]。 buffer[8] 
authenticated 变量 实际 上 是 一 个 标志 变量 , 当 其 值 er bolt) 
为 非 0 时 ,程序 进入 错误 重 输 的 流程 , 值 为 0 时 , 进 
入 密码 正确 的 流程 。 图 9-9 变量 在 内 存 中 的 位 置 

字符 串 数据 最 后 都 有 作为 结束 标志 的 NULL(0)， 
当 输 入 的 字符 超过 7 个 ,那么 超出 的 部 分 将 破坏 掉 与 它 紧邻 着 的 authenticated 变量 的 内 
容 。 例 如 ,输入 包含 8 个 字符 的 错误 密码 qqqqqqqq， ea buffer[8] 所 拥有 的 8 个 字 节 将 全 
部 被 gq 的 ASCII 码 0x71 填 满 ,而 字符 串 的 结束 标志 NULL 刚 写 入 了 authenticated 变量 并 
上 且 值 为 0x00000000。 

函数 返回 ,main 函数 看 到 authenticated 是 0, 就 会 认为 密码 正确 。 这 样 ,就 用 错误 的 密 
码 得 到 了 正确 密码 的 运行 效果 ,如 图 9-10 所 示 。 


please input password: 1234567 
Congratulationt you have passed the verificationt 
lease input password: 81234567? 

incorrect passwordt 














Int authenticated(0x00000001) 








please input password: 《 
[DT passed ne tdi 用 qqqqqqqq 成 功 








图 9-10 ”利用 缓冲 区 溢出 通过 密码 认证 


当 输 入 qqqqqqqq 时 ,程序 流程 改变 ,认证 成 功 。 如 果 输 入 几 十 个 字符 的 长 串 ,程序 会 
崩溃 。 

注意 为 什么 输入 01234567 不 行 ? 因为 字符 串 大 小 是 按照 字典 顺序 进行 比较 的 ,所 以 这 
个 串 小 于 1234567,authenticated 的 值 是 一 1, 在 内 存 里 将 按照 补 码 存 负数 ,所 以 实际 存 的 不 
是 0x01000000 而 是 0xffffffff。 那 么 字符 串 截 断后 符 0x00 淹没 后 , 变 成 0x0Offffff ,还 是 非 
0, 所 以 没有 进入 正确 分 支 。 

这 种 缺陷 大 多 数 情 况 下 会 导致 崩溃 ,但 是 结合 内 存 中 的 具体 情况 ,如 果 精 心 构造 缓冲 区 
的 话 ,是 有 可 能 让 程序 做 出 设计 人 员 意 想不到 的 事情 。 

本 例 只 是 用 一 个 字 节 淹没 了 邻接 变量 ,导致 了 程序 进入 密码 正确 的 处 理 流程 ,使 设计 的 
验证 功能 失效 。 

实际 上 攻击 者 利用 的 缓冲 区 溢出 还 要 复杂 得 多 ,还 要 这 
然 , 网 络 上 也 有 很 多 现成 的 工具 ,利用 一 些 特定 的 漏洞 进行 溢 











Shellcode 的 设计 和 编写 。 当 
出 攻击 。 
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932 SQL 注入 攻击 


很 多 网 络 应 用 都 采用 了 B/S 模式 , 即 用 户 可 以 通过 浏览 器 获取 某 些 服 务 。SQL 命令 注 
入 的 漏洞 是 Web 系统 特有 的 一 类 漏洞 , 源 于 PHP、ASP 等 脚本 语言 对 用 户 输入 数据 解析 的 
缺陷 ,将 解析 错误 的 语句 发 送 给 了 MySQL 数据 库 。 

如 果 用 户 的 输入 能 够 影响 到 脚本 中 SQL 命令 串 的 生成 ,那么 很 可 能 在 添加 了 单 引 
号 “# ”号 等 转 义 命令 字符 后 ,能 够 改变 数据 库 最 终 执行 的 SQL 命令 ,攻击 者 就 利用 这 个 
特点 修改 自己 的 输入 ,最 终 获取 数据 库 中 自己 所 需要 的 信息 ,如 管理 员 密 码 。 这 就 是 SQL 
注入 。 

以 PHP 语言 为 例 , 如 果 程 序 员 在 编程 时 没有 对 待 用 户 输 入 的 变量 $u 和 $p 进行 合理 
的 限制 ,那么 当 攻 击 者 把 用 户 名 输入 为 admin'# 的 时 候 , 输 入 字符 串 中 的 单 引号 将 和 脚本 
中 的 变量 的 单 引 号 形成 配对 ,而 输入 字符 串 中 的 # 号 对 于 mysql 的 语言 解释 起 来 说 是 行 注 
释 符 , 因 此 后 面 的 语句 被 作为 注释 处 理 。 


mysql_db_query( 'db', "select * from name where user = ' $u'and psw = ' $p'); 
mysql_db_query( 'db', "select * from name where user = 'admin'# 'and psw = '123') 


"#" 后 的 命令 将 被 当成 注释 ,最 终 执行 的 命令 为 
Select * from tabel_ name where user = 'admin' 


通过 这 样 的 输入 ,攻击 者 就 绕 过 了 身份 验证 机 制 ,没有 正确 的 密码 也 可 以 看 到 管理 员 的 
信息 。 

SQL 注入 攻击 的 精髓 在 于 构造 巧妙 的 注入 命令 串 ,从 服务 器 不 同 的 反馈 结果 中 ,逐步 
分 析出 数据 库 中 各 个 表 项 之 间 的 关系 ,直到 彻底 攻破 数据 库 。 遇 到 功能 强大 的 数据 库 , 如 
Microsoft SQL Server, 如 果 数 据 库 权 限 配置 不 合理 ,利用 存储 过 程 有 时 候 甚至 能 够 做 到 远 
程控 制服 务 器 。 

缓冲 区 溢出 需要 掌握 大 量 底层 知识 ,而 SQL 注入 攻击 的 技术 门槛 较 低 ,只 要 懂得 基本 
的 Web 技术 和 数据 库 知识 就 可 以 实施 攻击 。 另 外 ,一 些 自动 化 的 攻击 ,如 NBSI2 等 ,也 使 
这 类 攻击 变 得 容易 。 目 前 ,这 类 技术 已 经 发 展 成 为 一 套 比 较 完善 的 体系 ,成 为 破坏 网 站 的 主 
流 技术 。 

SQL 注入 是 从 正常 的 WWW 端口 访问 ,而 且 表面 看 起 来 跟 一 般 的 Web 页 面 访问 没 什 
么 区 别 , 所 以 防火 墙 不 会 对 SQL 注入 发 出 警报 ,如 果 管 理 员 没 查 看 日 志 的 习惯 ,可 能 被 入 侵 
很 长 时 间 都 不 会 发 觉 。 

针对 SQL 注入 攻击 的 防范 ,当务之急 是 对 程序 员 进行 安全 培训 。 开 发 Web 应 用 时 
要 对 用 户 输入 的 数据 进行 限制 ,过 滤 掉 可 能 引起 攻击 的 敏感 字符 。 另 外 ,数据 库 对 大 小 
写 不 敏感 ,所 以 要 使 用 正则 表达 式 , 同 时 过 滤 掉 select、SELECT、sEleCt 等 所 有 形式 的 保 
留 字 。 

此 外 ,有 一 些 自动 化 的 扫描 工具 可 以 帮助 检测 网 站 中 的 SQL 注入 漏洞 ,如 NGS 公司 生 
产 的 NGSSQuirreL 就 是 这 样 一 款 工具 。 
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94 保持 访问 权限 


在 一 次 人 侵 结 束 后 ,入 侵 者 有 可 能 希望 以 后 能 够 方便 地 再 次 进入 。 所 以 会 在 系统 里 面 
留 下 一 些 后 门 ,例如 开放 一 些 具 有 管理 员 权 限 的 新 账号 .安装 后 门 和 RootKit 等 。 

开放 新 账号 比较 简单 ,入 侵 者 一 般 会 选取 一 些 看 起 来 很 正常 的 账号 作为 自己 的 账号 , 例 
如 Ftp、game、mail、news 等 。 粗心 的 管理 员 有 时 候 会 误 以 为 是 已 经 开放 过 的 正常 账号 。 但 
这 个 方法 对 于 经 验 丰 富 的 管理 员 并 不 太 有 效 ,他 们 其 至 会 偷偷 监视 这 些 账 号 ,从 中 找 出 入 侵 
者 的 线索 。 

在 已 经 被 入 侵 的 机 器 里 面 安 装 后 门 也 是 常用 的 方法 。 后 门 具 有 隐蔽 性 和 非 授权 性 的 特 
点 。 所 谓 隐 项 性 是 指 后 门 的 设计 者 为 了 防止 被 发 现 , 会 采用 多 种 手段 隐藏 ,这样 服务 器 端 即 
使 发 现 有 后 门 ,也 不 能 确定 其 具体 位 置 。 所 谓 非 授权 性 指 入 侵 者 放 和 人 的 后 门 往往 是 能 够 实 
现 远 程控 制 的 后 门 ,一 旦 控制 端 与 服务 器 端 连接 后 ,控制 端 将 享有 服务 器 端的 大 部 分 操作 权 
限 ,包括 修改 文件 ,修改 注册 表 , 控 制 鼠标 、 键 盘 , 甚 至 是 远程 控制 对 方 计算 机 。 这 些 权力 并 
不 是 服务 器 端 赋予 的 ,而 是 通过 后 门 获取 的 。 

另外 入 侵 者 还 可 能 放 入 RootKit。 它 主要 通过 替换 系统 文件 达到 目的 。 这 样 就 会 更 加 
的 隐蔽 ,使 检测 变 得 比较 困难 。 


95 消除 入 侵 痕 迹 


在 所 有 的 操作 系统 中 ,包括 Windows 和 UNIX 系统 ,都 有 自己 的 日 志 系统 。 在 日 志 中 
记载 了 各 种 信息 ,如 用 户 对 其 的 操作 、 应 用 程序 所 作 的 行为 .各 种 各 样 的 安全 事件 等 。 当 和 
侵 者 非法 进入 了 系统 后 ,往往 会 被 这 些 日 志 记 录 下 来 。 管 理 员 通 过 日 志 , 则 有 可 能 分 析出 人 
侵 者 的 行为 ,甚至 是 根据 线索 找到 人 侵 者 。 

所 以 ,一 个 相对 专业 的 入 侵 者 ,会 在 入 侵 行为 完成 后 ,消除 自己 的 痕迹 ,就 像 专业 的 小 偷 
离开 现场 时 ,会 小 心地 把 指纹 擦 掉 。 

以 Windows 的 日 志 系 统 为 例 。 它 自 带 了 一 个 “事件 查看 器 ”, 可 以 通过 “开始 一 控制 面 
板 一 管理 工具 一 事件 查看 器 "将 其 打开 。 事 件 查看 器 的 界面 如 图 9-11 所 示 。 
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9-11 事件 查看 器 界面 
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1. 应 用 程序 日 志 


应 用 程序 日 志 包 含 由 应 用 程序 或 系统 程序 记录 的 事件 ,主要 记录 程序 运行 方面 的 事件 。 
例如 ,数据 库 程 序 可 以 在 应 用 程序 日 志 中 记录 文件 错误 ,程序 开发 人 员 可 以 自行 决定 监视 哪 
些 事 件 。 如 果 某 个 应 用 程序 出 现 崩溃 ,那么 可 以 从 程序 事件 日 志 中 找到 相应 的 记录 ,也 许 会 
有 助 于 解决 问题 。 


2. 安全 性 日 志 





安全 性 日 志 记录 了 诸如 有 效 和 无 效 的 登录 尝试 等 事件 ,以 及 与 资源 使 用 相关 的 事件 ,如 
创建 ,打开 或 删除 文件 或 其 他 对 象 。 系 统管 理 员 可 以 指定 在 安全 性 日 志 中 记录 什么 事件 。 
在 默认 设置 下 ,安全 性 日 志 是 关闭 的 ,管理 员 可 以 使 用 组 策略 来 启动 安全 性 日 志 , 或 在 注册 
表 中 设置 审核 策略 ,以 便当 安全 性 日 志 满 后 使 系统 停止 响应 。 


3. 系统 日 志 


系统 日 志 包 含 Windows XP 的 系统 组 件 记 录 的 事件 ,如 在 启动 过 程 中 加 载 驱动 程序 或 
其 他 系统 组 件 失败 将 记录 在 系统 日 志 中 ,默认 情况 下 Windows 会 将 系统 事件 记录 到 系统 日 
志 中 。 
如 果 机 器 被 配置 为 域 控制 器 ,那么 还 将 包括 目录 服务 日 志 、 文 件 复制 服务 日 志 ; 如 果 机 
器 被 配置 为 域名 系统 (DNS) 服 务 器 ,那么 还 将 记录 DNS 服务 器 日 志 。 当 启动 Windows 时 ， 
“事件 日 志 ” 服 务 (EventLog 文件 ) 会 自动 启动 ， 所 有 用 户 都 可 以 查看 应 用 程序 和 系统 日 志 ， 
但 只 有 管理 员 才 能 访问 安全 性 日 志 。 
这 些 日 志文 件 都 被 存放 在 管理 员 用 户 的 system32 目录 下 ,下 面 列 出 了 一 些 例子 : 
。 DNS 日 志 默 认 位 置 : %systemroot%Nsystem32\config, 默 认 文件 大 小 512 KB, 管 理 
员 都 会 改变 这 个 默认 大 小 。 
。 安全 日 志文 件 : %systemroot%\system32\config\SecEvent. EVT。 
。 系统 日 志文 件 : en a BVT: 
。 应 用 程序 日 志文 件 : %systemroot%\system32\config\AppEvent. EVT。 
。 FTP 日 志 默 认 位 置 : %systemroot%\system32\logfiles\msftpsvcl\, 上 默认 每 天 一 
自 赴 。 
。 WWW 日 志 默 认 位 置 : %systemroot%\system32\logfiles\w3svcl\, 上 默认 每 天 一 
日 志 
UNIX 的 日 志 系 统 比 Windows 更 为 强大 。 
日 志文 件 通常 有 某 项 服务 在 后 台 保 护 , 除 了 系统 日 志 、 安 全 日 志 、 应 用 程序 日 志 等 ,它们 
的 服务 是 Windows 的 关键 进程 ,而 且 与 注册 表 文 件 在 一 起 。 当 Windows 启动 后 ,服务 则 马 
上 被 启动 用 来 保护 这 些 文件 ,所 以 很 难 删除 。 
虽然 可 以 通过 事件 查看 器 把 日 志清 空 ,但 这 种 行为 本 身 就 是 一 个 不 正常 事件 ,会 让 系统 
管理 员 产 生 怀 疑 。 所 以 人 侵 者 一 般 只 是 删 掉 和 自己 入 侵 内 容 相 关 的 事件 ,这 往往 需要 日 志 
删除 工具 配合 。 这 样 的 工具 目前 非常 多 。 
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96 拒绝 服务 攻击 
1. 基本 概念 


拒绝 服务 攻击 (denial of service,DoS) 指 攻击 者 利用 系统 的 缺陷 ,通过 执行 一 些 恶意 的 
操作 而 使 合法 的 系统 用 户 不 能 及 时 地 得 到 服务 或 者 系统 资源 ,如 CPU 处 理 时 间 、 存 储 器 、 
网 络 带宽 、Web 服务 等 。 

这 种 攻击 方式 和 前 面 讲 的 几 种 方式 都 不 一 样 : 它 本 身 并 不 能 使 攻击 者 获取 什么 资源 ， 
如 系统 的 控制 权力 .秘密 的 文件 等 , 它 只 是 以 破坏 服务 为 目的 , 仅 针对 暴露 于 网 络 上 的 服务 
器 或 客户 端的 软 ,硬件 服务 进行 干扰 ,迫使 目标 服务 暂时 性 的 失效 ,具有 很 强 的 破坏 性 。 往 
往 把 这 种 方式 称 为 “攻击 ”而 不 是 * 入 侵 ”。 

拒绝 服务 攻击 往往 造成 计算 机 或 网 络 无 法 正常 工作 ,进而 会 使 一 个 依赖 于 计算 机 或 网 
络 服务 的 企业 不 能 正常 运转 。 例 如 ,各 种 网 站 服务 器 ,一 旦 受到 拒绝 服务 攻击 ,那么 这 个 网 
站 就 无 法 登录 了 。 另 外 ,拒绝 服务 攻击 也 令 提 供 网 络 游戏 服务 的 供应 商 很 头疼 的 一 种 攻击 
方式 。 下 面 是 一 些 常 见 的 拒绝 服务 攻击 方法 。 

1) 基于 网 络 带 宽 消 耗 的 拒绝 服务 攻击 

攻击 者 有 意 制造 大 量 的 数据 包 或 传输 大 量 文件 以 占用 有 限 的 带宽 资源 ,使 合法 用 户 无 
法 正常 使 用 网 络 资源 ,从 而 实现 攻击 者 的 意图 。 例 如 ,同步 风暴 (SYN Flood) 就 是 利用 了 
TCP/IP 协议 的 漏洞 ,攻击 者 假 造 源 IP 地 址 发 送 多 个 同步 数据 包 (SYN packet) 给 服务 器 ， 
服务 器 因 无 法 收 到 确认 数据 包 而 需要 处 理 大 量 的 半 连 接 状 态 ,让 主机 无 法 处 理 正常 的 连接 
需求 ,影响 正常 运作 。 

2) 消耗 磁盘 空间 的 拒绝 服务 攻击 

这 种 拒绝 服务 攻击 利用 系统 的 缺陷 ,制造 大 量 的 垃圾 信息 。 典 型 的 攻击 方法 有 垃圾 邮 
件 .故意 制造 大 量 日 志 信息 。 

3) 消耗 CPU 资源 和 内 存 的 拒绝 服务 攻击 

操作 系统 需要 提供 CPU 和 内 存 资源 给 许多 进程 共用 ,攻击 者 利用 系统 存在 的 缺陷 ,有 
意 使 用 大 量 的 CPU 和 内 存 资 源 , 从 而 导致 系统 服务 性 能 下 降 甚至 造成 系统 崩溃 。 典 型 的 
攻击 方法 就 是 使 用 蠕虫 程序 。 

4) 基于 系统 缺陷 的 拒绝 服务 攻击 

攻击 者 利用 目标 系统 的 漏洞 和 通信 协议 的 弱点 实现 拒绝 服务 攻击 。 下 面 是 两 种 很 典型 
的 攻击 方式 。 

Ping of Death: 根据 TCP/IP 的 规范 ,一 个 包 的 长 度 最 大 为 65 536 字 节 。 尽 管 一 个 包 
的 长 度 不 能 超过 65 536 字 节 ,但 是 一 个 包 分 成 的 多 个 片段 的 到 加 却 能 做 到 。 当 一 个 主机 收 
到 了 长 度 大 于 65 536 字 节 的 包 时 ,就 是 受到 了 Ping of Death 攻击 ,该 攻击 会 造成 主机 的 瘫痪 。 

Teardrop: IP 数据 包 在 网 络 传 递 时 ,数据 包 可 以 分 成 更 小 的 片段 。 攻 击 者 可 以 通过 发 
送 两 段 ( 或 更 多 ) 数 据 包 实现 Teardrop 攻击 。 第 一 个 包 的 偏 移 量 为 0. 长度 为 N, 第 二 个 包 
的 偏 移 量 小 于 N。 为 了 合并 这 些 数 据 段 ,TCP/IP 堆栈 会 分 配 超 乎 寻常 的 巨大 资源 ,从 而 造 
成 系统 资源 的 缺乏 甚至 机 器 的 重新 启动 。 
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2. 分 布 式 拒绝 服务 攻击 


分 布 式 拒绝 服务 (distributed denial of service,DDoS) 攻 击 指 借助 于 客户 /服务 器 技术 ， 
将 多 个 计算 机 联合 起 来 作为 攻击 平台 ,对 一 个 或 多 个 目标 发 动 DoS 攻击 ,从 而 成 倍 地 提高 
拒绝 服务 攻击 的 威力 。 

DDoS 攻击 手段 是 在 传统 的 DoS 攻击 基础 之 上 产生 的 一 类 攻击 方式 。 单 一 的 DoS 攻 
击 一 般 是 采用 一 对 一 方式 的 , 当 攻 击 目标 CPU 速度 低 、 内 存 小 或 网 络 带宽 小 等 各 项 性 能 指 
标 不 高 时 的 效果 是 明显 的 。 随 着 计算 机 与 网 络 技术 的 发 展 , 计 算 机 的 处 理 能 力 迅 速 增长 ,内 
存 大 大 增加 ,同时 也 出 现 了 千 兆 级 别 的 网 络 , 这 使 得 DoS 攻击 的 困难 程度 加 大 了 ,目标 对 恶 
意 攻 击 包 的 “消化 能 力 ” 加 强 了 不 少 , 例 如 攻击 软件 每 秒 钟 可 以 发 送 3000 个 攻击 包 , 但 目标 
主机 与 网 络 带 宽 每 秒 钟 可 以 处 理 10 000 个 攻击 包 , 这 样 一 来 攻击 就 不 会 产生 什么 效果 。 

这 时 候 分 布 式 的 拒绝 服务 攻击 手段 就 应 运 而 生 了 。 如 果 说 计算 机 与 网 络 的 处 理 能 力 加 
大 了 10 倍 ,用 一 台 攻 击 机 来 攻击 不 再 能 起 作用 的 话 , 现 在 攻击 者 使 用 10 台 、100 台 攻 击 机 
同时 攻击 。DDoS 就 是 利用 更 多 的 倪 偶 机 发 起 进攻 ,以 比 从 前 更 大 的 规模 进攻 受害 者 。 

通常 ,攻击 者 使 用 一 个 偷窃 账号 将 DDoS 主 控 程 序 安装 在 一 个 计算 机 上 ,在 一 个 设 定 的 
时 间 主 控 程 序 将 与 大 量 代 理 程序 通信 ,代理 程序 已 经 被 安装 在 Internet 上 的 许多 计算 机 上 。 
代理 程序 收 到 指令 时 就 发 动 攻击 。 利 用 客户 /服务 器 技术 , 主 控 程序 能 在 几 秒 钟 内 激活 成 百 
上 千 次 代理 程序 的 运行 ,这 些 安装 了 代理 程序 的 机 器 被 称 为 便 儒 机。 分 布 式 拒绝 服务 攻击 
体系 如 图 9-12 所 示 。 
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图 9-12 分 布 式 拒绝 服务 攻击 体系 结构 















































高 速 广泛 连接 的 网 络 给 大 家 带 来 了 方便 ,也 为 DDoS 攻击 创造 了 极为 有 利 的 条 件 。 在 
低速 网 络 时 代 时 ,黑客 占领 攻击 用 的 倪 偶 机 时 ,总 是 会 优先 考虑 离 目标 网 络 距 离 近 的 机 器 ， 
因为 经 过 路 由 器 的 跳 数 少 ,效果 好 。 现 在 电信 和 骨干 结 点 之 间 的 连接 都 是 吉 字 节 级 别 的 ,大 城 
市 之 间 更 可 以 达到 2. 5GB 或 更 高 的 连接 ,这 使 得 攻击 可 以 从 更 远 的 地 方 或 其 他 城市 发 起 ， 
攻击 者 的 佛 偶 机 位 置 可 以 分 布 在 更 大 的 范围 。 


3. 拒绝 服务 攻击 的 防范 
为 了 防范 拒绝 服务 攻击 ,可 以 采取 下 列 措施 : 
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(1) 确保 所 有 服务 器 采用 最 新 系统 ,并 打上 安全 补丁 。 从 已 有 的 拒绝 服务 攻击 事件 分 
析 来 看 ,几乎 每 个 曾 受到 DDoS 攻击 的 系统 都 没有 及 时 打上 补丁 。 

(2) 确保 管理 员 对 所 有 主机 进行 检查 ,而 不 仅 针对 关键 主机 。 这 是 为 了 确保 管理 员 知 
道 每 个 主机 系统 在 运行 什么 , 谁 在 使 用 主机 ,哪些 人 可 以 访问 主机 ; 否则 ,即使 黑客 侵犯 了 
系统 ,也 很 难 查 明 。 

(3) 确保 从 服务 器 相应 的 目录 或 文件 数据 库 中 删除 未 使 用 的 服务 如 FTP 或 NFS ,守护 
程序 是 否 存在 一 些 已 知 的 漏洞 ,黑客 通过 根 攻击 就 能 获得 访问 特权 系统 的 权限 ,并 能 访问 其 
他 系统 甚至 是 受 防火 墙 保护 的 系统 。 

(4) 确保 运行 在 UNIX 上 的 所 有 服务 都 有 TCP 封装 程序 ,限制 对 主机 的 访问 权限 。 

(5) 禁止 使 用 网 络 访问 程序 如 Telnet、Ftp、Rsh、Rlogin 和 Rep, 以 更 加 安全 的 协议 如 
SSH 取代 。SSH 不 会 在 网 上 以 明文 格式 传送 密码 ,Telnet 和 Rlogin 则 正好 相反 ,黑客 能 搜 
寻 到 这 些 密码 ,从 而 立即 访问 网 络 上 的 重要 服务 器 。 

(6) 限制 在 防火 墙 外 与 网 络 文件 共享 。 共享 会 使 黑客 有 机 会 截获 系统 文件 ,并 以 恶意 
代码 替换 ,文件 传输 功能 将 陷 人 瘫痪 。 

(7) 在 防火 墙 上 运行 端口 映射 程序 或 端口 扫描 程序 。 大 多 数 事件 是 由 于 防火 墙 配置 不 
当 造 成 的 ,使 DoS/DDoS 攻击 成 功率 很 高 ,所 以 一 定 要 认真 检查 特权 端口 和 非特 权 端口 。 

(8) 检查 所 有 网 络 设备 和 主机 /服务 器 系统 的 日 志 。 只 要 日 志 出 现 漏洞 或 时 间 出 现 变 
更 ,几乎 可 以 肯定 ,相关 的 主机 安全 受到 了 威胁 。 

从 实际 情况 来 看 ,目前 的 技术 对 分 布 式 拒绝 服务 攻击 的 防范 效果 并 不 太 理 想 , 但 如 果 采 
取 上 述 几 项 措施 , 定 能 起 到 预防 作用 。 


第 10 蔓 ”恶意 代码 分 析 


恶意 代码 (malicious code) 或 叫 恶意 软件 (malicious software) 是 一 种 程序 ,把 代码 在 不 
被 察觉 的 情况 下 镶嵌 到 另 一 段 程 序 中 ,从 而 达到 破坏 被 感染 计算 机 数据 运行 具有 入 侵 性 或 
破坏 性 的 程序 ,破坏 被 感染 计算 机 数据 安全 性 和 完整 性 的 目的 。 

恶意 代码 具有 如 下 共同 特征 : 

(1) 恶意 的 目的 。 

(2) 本 身 是 程序 。 

(3) 通过 执行 发 生 作用 。 

恶意 代码 一 般 分 成 几 类 : 病毒 .蠕虫 .恶意 移动 代码 ,特洛伊 木马 以 及 RootKit。 表 10-1 
所 示 为 常见 的 恶意 代码 类 型 及 其 特征 。 


表 10-1 恶意 代码 类 型 





恶意 代码 类 型 定义 特征 典型 实例 
计算 机 病毒 感染 宿主 文件 ,如 可 执行 文件 和 文档 等 ,自动 ”CIH 和 梅里 莎 病毒 
复制 。 经 常 需要 人 们 交互 感染 复制 
蠕虫 (Worm) 通过 网 络 传播 ,自动 复制 ,通常 无 须 人 们 交互 ”Nimda、 莫 里 斯 蠕虫 、 冲 击 波 
感染 传播 
恶意 移动 代码 移动 代码 是 能 够 从 主机 传输 到 客户 端 计算 机 Cross Site Scripting 
上 并 执行 的 代码 , 它 通常 是 作为 病毒 ,蠕虫 ,或 
是 特洛伊 木马 的 一 部 分 被 传送 到 客户 计算 机 
上 的 。 另 外 ,移动 代码 可 以 利用 系统 的 漏洞 进 
行人 侵 , 例 如 非法 的 数据 访问 和 盗 取 root 账 
号 。 通 常用 于 编写 移动 代码 的 工具 包括 Java 
Applets、ActiveX .JavaScript 和 VBScript 
特洛伊 木马 将 自己 伪装 成 有 用 的 程序 掩饰 恶意 目的 Hydan 冰河 
(Trojan Horse) 
RootKit 替换 或 修改 系统 管理 员 和 用 户 使 用 的 可 执行 ”Linux RootKit(LRK) 系 列 
程序 。 甚 至 控制 操作 系统 的 内 核 
组 合 恶意 代码 组 合 上 述 不 同 技术 以 增强 破坏 力 Lion、Bugbear.B 


人 们 往往 混淆 这 些 恶 意 代 码 的 类 型 ,如 把 特洛伊 木马 当 作 蠕虫 ,或 把 RootKit 当 作 病 
毒 。 如 果 不 理解 各 种 恶意 代码 类 型 的 区 别 , 则 不 明白 如 何 有 效 地 实施 防御 。 
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101 病 毒 


计算 机 病毒 (computer virus) 在 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 中 被 
明确 定义 ,病毒 指 “ 编 制 或 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 破坏 数据 ,影响 计算 机 
使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 程序 代码 ”。 

病毒 的 主要 特点 之 一 就 是 它 不 能 作为 独立 的 可 执行 程序 运行 。 病 毒 的 携带 者 被 称 为 宿 
主 (host) ,可 以 是 一 个 标准 的 可 执行 程序 ,如 Notepad. exe, 也 可 以 是 包含 宏 命 令 的 数据 文 
件 ,如 Microsoft 的 Word 文档 。 病 毒 同样 能 附着 在 保存 在 磁盘 引导 区 的 底层 指令 中 。 

自我 复制 是 病毒 的 另 一 个 核心 特征 。 这 个 特征 说 明 它 具 有 自动 产生 和 自身 复制 的 能 
力 ,而 不 需要 操作 者 手动 复制 其 代码 。 这 种 能 力 允 许 病毒 在 文件 之 间 、 目 录 之 间 、 磁 盘 之 间 ， 
甚至 系统 之 间 进 行 传播 。 尽 管 坐 在 计算 机 前 的 人 没有 执行 任何 复制 操作 ,在 病毒 发 作 和 复 
制 前 ,用 户 经 常 要 通过 执行 宿主 程序 激活 病毒 。 

另外 一 个 重要 的 概念 是 ,病毒 感染 是 一 种 跨 平台 的 现象 。 也 就 是 说 ,病毒 并 非 只 以 
Windows 操作 系统 为 感染 目标 。 实 际 上 ,Linux、Solaris 以 及 其 他 类 UNIX 操作 系统 也 会 遭 
到 病毒 的 攻击 。 


1011 感染 


和 生物 病毒 一 样 , 计 算 机 病毒 具有 极 强 的 针对 性 ,病毒 的 种 类 不 同 ,其 感染 的 对 象 也 不 
尽 相 同 。 


1. 感染 可 执行 文件 


病毒 通常 将 自身 附着 在 可 执行 文件 上 , 当 有 人 运行 受 感染 程序 时 ,病毒 就 能 够 让 自己 激 
活 。 大 多 数 操作 系统 拥有 不 同 的 可 执行 文件 类 型 ,UNIX 系统 包括 二 进 制 文件 和 多 种 脚本 
文件 类 型 ,它们 都 可 能 被 病毒 感染 。 
Windows 系统 支持 两 种 基本 可 执行 文件 类 型 ,. COM 文件 和 . EXE 文件 ,都 属于 潜在 
的 宿主 。 如 今 的 Windows 版 本 实际 上 可 以 执行 几 种 类 型 的 . EXE 文件 ,本 地 运行 的 . EXE 
文件 为 PE(portable executable) 格 式 , 事 实 上 ,并 不 是 所 有 的 PE 文件 的 扩展 名 都 为 . EXE， 
扩展 名 为 . SYS、. DLL、. OCX、. CPL、. SCR 的 文件 同样 符合 PE 格式 。 

除了 以 独立 的 可 执行 文件 为 目标 外 ,病毒 还 可 以 试图 将 自身 嵌入 到 操作 系统 的 内 核 中 。 
在 1999 年 前 后 发 现 的 Infis 病毒 ,将 自己 作为 一 个 内 核 模式 的 驱动 程序 安装 到 Windows 
NT 和 Windows 2000 上 。 





2. 感染 引导 区 


当 打 开 计 算 机 时 , 某 些 病毒 首先 会 执行 对 硬盘 进行 初始 化 并 允许 系统 启动 的 一 系列 指 
令 。 实 现 这 种 动作 的 代码 是 BIOS 程序 部 分 ,由 BIOS 程序 来 确定 第 一 个 硬盘 的 第 一 个 扇 
区 ,并 执行 存放 在 其 中 并 被 称 为 主 引 导 记 录 (master boot record, MBR) 的 小 程序 。 人 们 将 
存储 MBR 的 数据 的 物理 扇 区 称 为 “ 主 引 导 区 ”。 
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MBR 的 部 分 代码 知道 如 何 列举 所 有 可 能 的 分 区 ,如 何 将 控制 权 转 移 到 所 需 分 区 的 引导 
区 。 位 于 每 个 分 区 开端 的 引导 区 被 称 为 “分 区 引导 区 ”(partition boot sector,PBS) , 典 入 在 
PBS 中 的 程序 可 以 定位 操作 系统 的 启动 文件 ,并 在 启动 过 程 中 将 控制 权 传 给 启动 文件 。 

某 些 病毒 会 利用 MBR 和 PBS 内容 的 可 执行 特性 ,将 自身 附着 在 某 一 个 引导 区 中 ,感染 
了 引导 区 病毒 的 计算 机 在 启动 时 能 执行 病毒 代码 。 

例如 ,1991 年 发 现 的 “ 米 开 朗 基 罗 ”病毒 就 是 一 种 典型 的 引导 区 病毒 ,也 是 目前 最 有 名 
的 病毒 之 一 。 受 感染 的 计算 机 在 3 月 6 日 ( 米 开朗 基 罗 的 生日 ) 启 动 ,病毒 就 会 覆盖 硬盘 所 
有 的 扇 区 ,然后 格式 化 硬盘 。 


3. 感染 文档 文件 


目前 ,许多 流行 的 文档 格式 支持 内 嵌 代 码 , 当 用 户 打开 文档 时 ,这 些 代码 可 由 应 用 程序 
执行 。 内 内 的 代码 一 般 被 称 为 “ 宏 ”Cmacro) 。 

例如 ,Microsoft 的 Office 系列 产品 .AutoCAD 也 支持 VBA 写 的 宏 。 

以 Word 文档 为 例 ,假如 一 个 文档 包含 一 个 叫 作 Document Open 的 子 函数 , 则 当 用 户 
打开 文档 时 ,Word 执行 这 个 子 函数 ,而 病毒 代码 就 位 于 这 个 子 函数 中 , 当 用 户 打 开 文 档 时 ， 
病毒 代码 自动 执行 。 最 典型 的 就 是 1999 年 的 梅 丽 莎 病毒 。 

感染 文档 文件 的 病毒 很 容易 编写 ,因为 感染 可 执行 文件 和 引导 区 的 病毒 一 般 采 用 汇编 
和 C 语言 编写 ,需要 较 高 的 技术 水 平 。 文 档 病毒 采用 的 是 功能 强大 上 且 易 学 的 高 级 脚本 语言 
创建 ,甚至 不 需要 编译 。 





4. 其 他 目标 


脚本 可 以 作为 独立 的 文件 存在 ,因此 也 是 病毒 感染 的 潜在 目标 。 与 编译 过 的 可 执行 文 
件 相反 ,这 样 的 脚本 通常 用 可 读 的 纯 文 本 书写 指令 ,并 在 运行 时 由 适当 的 解释 程序 处 理 。 

脚本 病毒 可 以 使 用 各 种 技术 附着 在 脚本 上 ,如 2001 年 发 现 的 VBS. Beast 病毒 ,感染 计 
算 机 的 方式 是 将 自身 的 代码 附加 在 当前 驱动 器 上 所 有 . VBS 文件 上 。PHP. Pirus 病毒 采用 
了 另外 一 种 方法 ,以 PHP 脚本 为 攻击 目标 ,将 一 条 命令 插入 被 感染 脚本 中 ,这 条 命令 告 j 
该 脚本 去 执行 保存 在 一 个 独立 文件 中 的 病毒 代码 。 

除了 脚本 外 ,相似 的 感染 技术 也 能 被 用 来 将 病毒 嵌入 到 那些 最 终 将 会 编译 成 标准 的 可 
执行 程序 的 源 代 码 中 。 不 过 这 样 的 病毒 比较 罕见 , 反 病 毒 软 件 Kaspersky Lab 仅 报 告 过 两 
个 这 样 的 病毒 ,分 别 叫 SrcVir 和 Urphin。 


1012 传播 机 制 

与 10.2 节 要 介绍 的 蠕虫 不 同 ,纯粹 的 病毒 不 能 自动 地 跨 网 络 传播 ,需要 借助 于 人 类 的 
帮助 从 一 台 计 算 机 传 到 另 一 台 。 

1. 移动 存储 


最 开始 病毒 通过 软盘 传播 ,大 多 为 感染 引导 区 病毒 。 虽 然 从 理论 上 来 说 ,病毒 可 以 将 
CD-ROM 的 引导 区 也 作为 感染 目标 ,但 实际 上 由 于 CD-ROM 一 旦 刻录 好 ,就 不 可 再 写 , 因 
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此 以 CD 媒体 作为 引导 区 病毒 的 感染 目标 在 实际 上 不 可 行 。 但 这 并 不 妨碍 CD 作为 感染 可 
执行 文件 和 脚本 的 病毒 介质 。 

另外 还 有 目前 流行 的 USB 驱动 盘 ,它们 往往 也 成 为 病毒 的 传播 介质 。 甚 至 还 有 TF 
卡 、SanDisk、MemoryStick 等 存储 卡 ,也 可 能 成 为 传播 介质 。 


2. 电子 邮件 及 下 载 


一 个 纯 文 本 的 信息 本 身 不 携带 可 执行 代码 ,但 它 的 附件 可 以 携带 。 一 个 可 信 的 用 户 可 
以 通过 电子 邮件 将 被 感染 文件 发 给 同事 或 朋友 ,这 种 传播 方式 甚至 比 移动 存储 更 加 容易 。 

病毒 也 可 以 通过 下 载 文件 进入 我 们 的 系统 ,来 自 远程 Web 服务 器 的 任何 可 执行 文件 和 
文档 都 可 能 被 病毒 感染 ,下 载 这 些 文件 并 且 运 行 ,病毒 就 驻 留 在 系统 中 ,并 且 有 可 能 伺机 感 
染 系统 中 其 他 的 文件 。 


3. 共享 目录 


另 一 种 有 助 于 病毒 抵达 新 系统 的 途径 是 人 们 在 共享 目录 中 保存 被 感染 文件 ,而 且 病 毒 
能 够 跨越 本 地 系统 中 的 目录 ,同样 也 可 搜索 并 感染 位 于 文件 服务 器 的 共享 目录 中 的 文件 。 
各 种 各 样 的 文件 共享 机 制 , 包 括 由 服务 器 信息 块 (server message block,SMB) 协 议和 网 络 
文件 系统 (network file system, NFS) 共 享 ,都 能 够 传播 病毒 。 


1013 防御 病毒 


病毒 的 多 样 性 使 得 没有 哪 种 简单 的 工具 软件 能 够 可 靠 地 阻止 所 有 病毒 的 进攻 ,然而 同 
时 使 用 几 种 保护 措施 则 可 以 保证 系统 更 加 不 容易 被 感染 。 


1. 反 病 毒 软件 


反 病 毒 软件 是 现在 最 为 普遍 使 用 的 安全 机 制 。 没 有 反 病 毒 软件 就 像 是 违背 了 当今 计算 
机 环境 下 最 平常 的 维护 准则 。 

在 个 人 计算 机 上 安装 反 病毒 软件 和 安装 其 他 应 用 程序 类 似 , 按 照 默 认 的 配置 就 可 以 达 
到 很 好 的 效果 。 而 应 用 在 商业 环境 中 的 杀毒 软件 往往 更 加 复杂 并 提供 了 更 多 的 选项 。 下 面 
是 一 些 典 型 的 环境 : 

(1) 用 户 工 作 站 、 文 件 服务 器 、 邮 件 服务 器 : 当 用 户 打 开 E-mail 附件 或 从 网 上 下 载 文件 
时 ,可 能 会 遇 到 病毒 等 恶意 软件 。 

(2) 应 用 程序 服务 器 : 它 一 般 运 行 基于 网 络 的 应 用 程序 ,用 于 实现 特定 的 任务 ,终端 用 
户 一 般 不 能 直接 访问 应 用 程序 服务 器 中 的 文件 。 系 统管 理 员 往 往 对 在 应 用 程序 服务 器 上 安 
装 反 病毒 软件 很 谨慎 ,因为 反 病毒 软件 可 能 会 干扰 核心 应 用 程序 的 操作 。 但 即使 放弃 安装 ， 
也 应 该 采用 其 他 的 保护 措施 ,例如 强化 配置 。 

(3) 边界 防火 墙 : 位 于 网 络 边 界 的 防火 墙 通常 被 配置 为 与 反 病毒 服务 器 集成 起 来 ,对 
进出 该 网 络 的 E-mail 和 Web 信息 进行 扫描 。 在 恶意 代码 渗入 之 前 将 其 捕获 。 

(4) 手持 设备 : 如 PDA 和 手机 。 制 造 商 在 手持 设备 上 加 入 增加 了 网 络 接 入 的 功能 。 
并 且 随 着 它们 的 处 理 能 力 和 存储 能 力 不 断 增强 ,很 有 可 能 成 为 恶意 软件 的 攻击 目标 。 虽然 
目前 只 有 少数 病毒 出 现 ,但 可 以 预计 的 是 ,将 来 会 有 不 少 针对 手持 设备 的 病毒 。 
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反 病 毒 软件 检测 恶意 代码 采用 的 最 简单 也 是 最 流行 的 办 法 是 利用 病毒 的 特征 码 , 反 病 
毒 软件 商 搜集 病毒 样本 并 且 采 集 其 特征 码 。 成 千 上 万 个 病毒 特征 码 被 收录 到 数据 库 中 ,用 
于 病毒 扫描 。 当 反 病 毒 软件 扫描 文件 时 ,将 当前 文件 和 病毒 特征 相 比较 , 检 测 是 否 有 文件 片 
段 和 特征 相 吻 合 。 图 10-1 所 示 是 一 个 用 十 六 进 制 字符 表示 的 文件 片段 ,其 中 有 一 段 字 节 序 
列 和 病毒 特征 相同 , 反 病毒 软件 会 认为 此 文件 感染 了 病毒 。 





病毒 特征 码 和 这 行 编码 一 样 : 


EB 16 A8 54 00 00 41 42 47 48 48 4C 43 4F 00 14 
06 48 59 42 52 49 53 00 FC 68 4C 70 40 00 FF 15 
00 70 89 88 77 5A 4B FF 80 6A 43 60 6A 70 2A 60 
7C 00 00 00 5E 3A 55 55 27 DA 1C 90 00 E7 AF 50 





图 10-1 基于 特征 码 的 探测 


对 于 基于 病毒 特征 码 的 检测 方法 ,最 大 的 挑战 就 是 反 病毒 软件 只 有 包含 了 这 个 特征 码 ， 
才能 够 在 系统 中 发 现 病毒 。 这 意味 着 反 病 毒 软件 供应 商 需要 收集 完备 的 病毒 样本 ,并 且 尽 
快 地 开发 出 标志 它们 的 特征 码 分 发 给 用 户 ,用户 则 要 每 隔 一 段 时 间 下 载 最 新 的 病毒 特征 库 。 
即使 快速 频繁 的 更 新 ,匹配 病毒 特征 码 的 方法 仍然 有 不 可 克服 的 缺点 。 因 为 反 病 毒 软件 总 
是 走 在 病毒 的 后 面 , 只 有 等 病毒 开始 传播 了 ,才能 够 及 时 收 到 样本 ,往往 病毒 已 经 造成 了 破 
坏 。 另 外 ,假如 病毒 能 够 不 断 地 改变 其 特征 码 ,那么 反 病毒 软件 的 供应 商 很 难为 其 创建 一 个 
可 靠 的 特征 码 。 


2. 强化 配置 


强化 配置 的 目的 是 使 环境 尽 可 能 地 不 被 病毒 感染 ,同时 阻止 被 感染 后 病毒 的 传播 。 这 
种 防御 技术 通常 和 下 面 的 安全 目标 结合 ,相互 配合 : 

(1) 最 小 特权 原则 : 规定 对 数据 和 程序 的 访问 ,对 用 户 进行 限制 ,使 他 们 只 能 访问 自己 
的 任务 明确 需要 的 文件 。 

(2) 最 小 化 服务 数量 : 只 开放 那些 需要 的 服务 。 


3. 良好 的 习惯 


对 于 用 户 来 说 ,培养 成 良好 的 习惯 也 可 以 大 大 降低 被 病毒 感染 的 风险 。 

例如 ,不 要 下 载 和 安装 来 历 不 明 的 软件 ,特别 是 陌生 人 通过 网 络 传送 过 来 的 软件 。 如 要 
下 载 软件 ,应 去 大 型 .正规 的 下 载 网 站 。 将 自己 随身 携带 的 存储 设备 进行 “ 写 保护 ”, 使 其 即 
使 和 受 感染 的 系统 连接 ,病毒 也 无 法 感染 存储 设备 中 的 文件 。 学 习 识别 病毒 感染 的 迹象 , 例 
如 运行 缓慢 .系统 中 有 可 疑 进 程 ` 反 病毒 软件 警告 等 。 小 心 电 子 邮件 的 附件 ,不 要 随便 打开 
它们 ,包括 . TXT 文档 .JPG 图 片 等 ,这 些 看 似 安全 的 文档 其 实 也 可 以 包含 病毒 ,更 不 要 运 
行 . EXE、. COM 等 后 级 名 的 可 执行 文件 。 








102 时 虫 


蠕虫 是 一 种 可 以 自我 复制 的 代码 .并且 通过 网 络 传播 ,通常 无 需 人 为 干涉 就 能 传播 。 
在 最 近 几 年 里 ,蠕虫 正在 迅速 增长 。 事 实 上 ,在 Internet 的 历史 中 ,蠕虫 已 经 对 受到 攻 
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击 的 计算 机 造成 了 巨大 的 危害 ,并 且 正 在 变 得 越 来 越 具 有 破坏 性 。 

蠕虫 袭击 一 台 机 器 ,并 在 完全 控制 后 ,就 会 把 这 人 台 机 器 作为 宿主 ,进而 扫描 并 感染 其 他 
脆弱 的 系统 。 当 这 些 新 目标 在 蠕虫 的 控制 之 中 后 ,这 种 贪 禁 的 行为 会 继续 。 一 旦 开始 感染 ， 
蠕虫 将 控制 数 千 个 系统 。 它 们 采用 递归 的 方法 进行 传播 ,按照 指数 增长 的 方式 复制 自己 , 进 
而 感染 更 多 的 系统 。 

实际 上 蠕虫 和 病毒 在 本 质 上 是 相关 的 ,在 开始 蔓延 时 都 是 自我 复制 。 然 而 ,蠕虫 特征 是 
通过 网 络 传输 ,而 病毒 不 一 定 要 通过 网 络 传播 。 病 毒 的 主要 特征 是 感染 主 文件 ,如 文档 或 者 
可 执行 文件 ,而 蠕虫 没有 这 个 必要 , 它 不 需要 宿主 文件 。 当 然 , 有 些 特定 的 蠕虫 也 会 感染 文 
件 。 随 着 Internet 的 广泛 应 用 ,许多 新 病毒 包含 了 蠕虫 可 以 繁殖 的 特性 。 

蠕虫 另外 一 个 重要 的 特点 是 无 须 通过 人 为 干预 传播 ,通常 利用 目标 机 上 的 一 些 漏洞 , 进 
而 用 一 些 自动 化 的 方法 占据 它 。 不 需要 用 户 和 管理 员 做 任何 事情 。 而 大 多 数 病毒 需要 用 户 
运行 一 个 程序 或 打开 文档 以 调用 恶意 代码 。 表 10-2 所 示 为 病毒 与 蠕虫 的 异同 点 。 


表 10-2 病毒 和 蠕虫 的 对 比 

















恶意 代码 类 型 复 制 传播 路 径 是 否 需 要 用 户 交 互 

计算 机 病毒 自我 复制 感染 某 个 文件 需要 交互 ,例如 打开 文件 .可 执行 文件 

蠕虫 自我 复制 通过 网 络 传播 一 般 不 需要 ,大 部 分 通过 目标 系统 的 漏洞 传播 
1. 蠕虫 的 组 成 和 传播 


典型 的 蠕虫 程序 结构 如 图 10-2 所 示 ,把 图 中 所 示 的 每 一 部 分 作为 实现 蠕虫 的 一 个 组 
件 ,在 迄今 为 止 的 大 多 数 蠕虫 中 都 能 找到 这 些 块 。 另 外 ,攻击 者 已 经 创建 了 一 些 使 用 标准 组 
件 的 蠕虫 ,这 些 标准 组 件 可 以 根据 不 同 的 功能 需要 轻而易举 地 进行 替换 拼装 。 





探测 装置 传播 引擎 目标 选择 算法 扫描 引擎 有 效 载荷 
10-2 蠕虫 的 构成 


各 组 件 工 作 起 来 很 像 导弹 的 每 个 部 分 ,探测 器 类 似 于 弹头 ,用 来 穿 透 目标 ; 传播 引擎 将 
导弹 移 向 它 的 目标 ; 目标 选择 算法 类 似 导 弹 中 的 小 型 回转 仪 ,引导 导弹 指向 目标 ; 有 效 载 
荷 携带 了 恶性 代码 去 破坏 目标 。 

1) 探测 装置 

为 了 侵占 一 个 目标 系统 ,蠕虫 必须 首先 获得 目标 计算 机 的 访问 权 。 它 使 用 一 些 代码 作 
为 弹头 侵入 目标 机 ,查找 目标 系统 的 攻击 点 。 这 些 载 人 到 弹头 的 探测 器 ,可 以 利用 目标 机 众 
多 可 能 的 漏洞 侵占 系统 。 常 用 的 技术 有 缓冲 区 溢出 探测 .文件 共享 攻击 ` 利 用 电子 邮件 列 
表 , 以 及 其 他 普通 的 错误 配置 。 当 新 的 漏洞 被 发 布 时 ,攻击 者 借用 这 些 技术 ,将 探测 代码 载 
入 蠕虫 中 ,为 攻击 者 打开 通道 ,让 蠕虫 执行 代码 复制 到 受害 机 器 。 

2) 传播 引擎 

通过 探测 装置 获得 目标 机 的 访问 权 后 ,蠕虫 必须 传输 自身 的 其 他 部 分 到 目标 机 。 在 一 
些 情况 下 ,探测 装置 自身 可 以 运载 整个 蠕虫 到 达 目 标 机 。 例 如 ,在 利用 文件 共享 漏洞 时 , 整 
个 蠕虫 都 可 以 被 写 人 目标 文件 系统 。 

有 的 蠕虫 在 探测 缓冲 区 溢出 或 其 他 常见 的 错误 配置 时 ,探测 装置 仅仅 打开 通道 ,然后 蠕 
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虫 可 以 在 目标 机 上 执行 任何 指令 。 此 时 ,蠕虫 并 没有 加 载 到 目标 机 上 ,还 需要 传输 到 它 所 有 
的 代码 到 目标 机 ,所 以 需要 在 目标 机 上 执行 一 些 指 令 , 常 常 是 一 些 用 来 传输 蠕虫 代码 的 文件 
传输 指令 。 

当 传播 到 目标 机 后 ,蠕虫 向 内 存 加 载 其 进程 并 改变 系统 配置 ,这 样 就 可 以 不 断 地 运行 甚 
至 可 能 在 系统 中 隐藏 自己 。 

3) 目标 选择 算法 

一 旦 蠕虫 在 受害 机 器 上 运行 ,目标 选择 算法 开始 寻找 新 的 攻击 目标 。 每 个 由 目标 选择 
算法 确定 的 地 址 都 将 被 扫描 ,确定 是 否 有 合适 的 对 象 。 一 般 来 说 ,它们 会 选择 如 下 对 象 : 

(1) 电子 邮件 地 址 : 一 个 蠕虫 可 以 从 受害 机 的 邮件 阅读 器 或 者 服务 器 上 得 到 电子 邮件 
地 址 ,它们 会 附着 在 新 发 送 的 信件 中 ,甚至 自动 为 对 方 发 送 邮件 。 

(2) 主机 列表 : 一 些 蠕虫 从 本 地 主机 上 的 各 种 计算 机 列表 中 获取 地 址 ,如 存储 在 主机 
文件 中 的 那些 。 

(3) 被 信任 的 系统 : 在 一 个 基于 UNIX 系统 的 受害 计算 机 中 ,蠕虫 可 以 通过 分 析 /etc/ 
hosts. equiv 文件 和 用 户 个 人 的 . rhosts 文件 ,在 当前 受害 机 和 其 他 计算 机 之 间 寻 找 信任 关 
系 。 有 时 候 不 需要 用 户 密 码 就 能 从 一 台 计算 机 访问 另外 一 台 计 算 机 。 

(4) 局 域 网 : 蠕虫 可 以 通过 扫描 局 域 网 络 以 发 现 新 的 潜在 受害 者 。 

(5) 域名 服务 查询 : 蠕虫 可 以 连接 到 带 有 受害 计算 机 的 本 地 域名 服务 器 ,查询 其 他 受 
害 者 的 网 络 地 址 ,将 域名 转化 为 IP 地 址 。 

(6) 任意 选择 地 址 : 蠕虫 可 以 仅仅 任意 选择 一 个 目标 网 络 地 址 ,利用 一 个 算法 计算 一 
个 合理 的 值 ,进而 试图 感染 该 系统 。 

4) 扫描 引擎 

利用 目标 引擎 得 到 的 地 址 ,蠕虫 在 网 络 上 积极 地 扫描 以 决定 合适 的 攻击 者 。 利 用 扫描 
引擎 ,蠕虫 对 潜在 的 目标 慢 慢 传送 一 个 或 多 个 数据 包 , 以 此 权衡 蠕虫 的 弹头 是 否 可 以 在 这 台 
计算 机 上 工作 。 当 找到 一 个 合适 的 目标 时 ,蠕虫 将 向 这 个 新 的 受害 者 传播 ,整个 传播 过 程 不 
断 地 重复 进行 。 探 测 器 (弹头 ) 打 开通 道 ,蠕虫 开始 繁殖 ,有 效 载荷 开始 运行 ,新 的 目标 被 选 
择 , 接 着 继续 扫描 。 整 个 过 程 的 大 约 在 几 秒 或 更 少 的 时 间 内 完成 ,一 瞬间 ,蠕虫 感染 了 受害 
者 并 利用 它 进 一 步 葛 延 。 

5) 有 效 载 荷 

一 个 蠕虫 的 有 效 载荷 就 是 一 大 块 代码 ,这 些 代码 为 攻击 者 在 目标 系统 上 执行 一 些 特殊 
的 操作 ,有 效 载荷 就 是 这 个 蠕虫 进入 目标 机 后 所 做 的 事情 。 一 个 蠕虫 开发 人 员 可 能 会 选择 
以 下 的 一 些 事情 : 打开 后 门 、 安 装 拒 绝 服务 攻击 代理 执行 复杂 数学 运算 等 。 

蠕虫 的 有 效 载荷 可 以 在 目标 机 上 做 任何 攻击 者 想 做 的 事情 ,如 删除 文件 、 重 新 配置 计算 
机 ,损坏 一 个 Web 站 点 或 其 他 任何 类 型 的 攻击 等 。 一 旦 受害 计算 机 被 蠕虫 攻占 ,有 效 载 荷 
的 作用 就 全 部 操纵 于 攻击 者 手中 了 。 


2. Nimda 案例 


2001 年 9 月 18 日 ,Nimda 蠕虫 开始 在 Internet 上 迅速 蔓延 。 它 尽 可 能 多 的 感染 
Windows 系统 。Nimda 的 探测 器 采用 了 多 种 不 同 的 探测 技术 ,能 够 探测 几乎 所 有 类 型 的 
Windows 操作 系统 Windows 95/98/Me/NT/V2000。 它 试图 通过 下 列 途 径 冯 人 系统 : 
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(1) Windows 的 IIS 服务 器 缺陷 。 目 录 迁 移 漏洞 (directory traversal flaws) 可 以 让 一 
个 攻击 者 通过 发 送 一 个 HTTP 请 求 , 要 求 运 行 一 个 不 位 于 Web 服务 器 文档 根 目录 的 程序 ， 
进而 能 够 在 该 Web 服务 器 上 运行 任何 代码 。 没 有 打 过 补丁 的 Windows 计算 机 允许 一 个 
Web 请 求 在 目录 上 迁移 ,到 达 该 Web 服务 器 上 各 类 系统 命令 所 在 的 文件 夹 。Nimda 就 是 
在 其 弹头 中 发 送 这 样 的 Web 请 求 并 在 目标 Web 服务 器 上 执行 命令 。 

(2) 连接 到 被 感染 的 Web 服务 器 上 的 浏览 器 。 如 果 一 个 用 户 连接 到 一 台 已 经 被 
Nimda 侵占 的 服务 器 上 时 ,Web 服务 器 将 把 蠕虫 代码 连同 正常 的 网 页 一 起 传送 给 用 户 。 当 
IE 浏 览 器 试图 显示 被 感染 的 网 页 时 , 它 将 执行 蠕虫 的 探测 器 部 分 ,在 正在 浏览 网 页 的 客户 
机 上 安装 蠕虫 。 

(3) Outlook 电子 邮件 客户 端 。 当 用 户 阅 读 甚至 预览 一 条 被 Nimda 代码 感染 的 电子 邮 
件 信息 时 ,蠕虫 将 自动 安装 到 这 人 台 机 器 上 。 当 使 用 应 用 默认 配置 的 Outlook 时 ,甚至 无 须 打 
开 被 感染 的 邮件 ,其 中 包含 Nimda 蠕虫 的 附件 都 会 被 自动 执行 。 

(4) Windows 文件 共享 。 当 安装 到 一 个 系统 中 后 ,Nimda 开始 在 本 地 系统 及 任何 可 以 
到 达 的 网 络 文件 共享 上 寻找 Web 内 容 ( 例 如 ,. HTML、. HTM 和 . ASP 文件 )。 当 找到 这 样 
的 网 页 和 脚本 文件 后 ,Nimda 通过 网 络 共享 算 改 这 些 文件 ,并 把 蠕虫 的 内 容 写 入 其 中 。 

(5) 来 自 先前 的 蠕虫 后 门 。Nimda 扫描 网 络 搜索 “红色 代码 二 代 ”(Code Red 11) 和 
Sadmind/IIS 蠕虫 留 下 的 后 门 。 

Nimda 的 传播 引擎 与 探测 器 紧密 结合 , 当 利 用 上 述 方法 成 功 进入 目标 系统 后 , 则 利用 
TFTP 命令 复制 自己 。 

Nimda 的 目标 选择 算法 用 两 种 方式 操作 。 首 先 ,集中 针对 电子 邮件 地 址 。 如 果 安 装 了 
Microsoft 的 Outlook 电子 邮件 程序 ,蠕虫 将 搜索 用 户 的 联系 列表 以 获取 地 址 。 此 外 , 它 再 
扫描 硬盘 ,搜索 HTM 和 HTML 文件 内 部 的 所 有 的 电子 邮件 地 址 。 然 后 ,以 电子 邮件 的 形 
式 向 这 个 用 户 的 各 个 朋友 发 送 自己 的 副本 ,进一步 传播 代码 。 

为 了 进一步 的 攻击 ,Nimda 的 有 效 载 荷 开 放 了 对 C 盘 的 完全 访问 ,在 目标 机 上 实现 文 
件 共 享 。 为 了 确保 获取 硬盘 的 访问 权 ,Nimda 激活 了 Guest 账户 ,然后 把 Guest 账户 添加 到 管 
理 员 组 中 。 一 旦 感染 了 Nimda, 任 何 能 使 用 SMB 协议 访问 系统 的 人 都 能 够 通过 网 络 以 管理 员 
权限 访问 C 盘 中 所 有 的 文件 ,这 可 能 也 是 Nimda 名 字 的 由 来 : 单词 admin 倒 过 来 拼写 。 


3. 防御 蠕虫 


通过 下 列 几 项 措施 可 以 有 效 防御 蠕虫 攻击 : 

1) 安装 反 病 毒 软件 

反 病毒 软件 能 够 阻止 各 种 形式 的 恶意 代码 ,也 包括 蠕虫 。 大 部 分 反 病毒 软件 能 够 产生 
最 新 的 蠕虫 特征 码 , 并 且 加 入 到 病毒 库 中 。 这 就 要 求 用 户 及 时 更 新 病毒 库 以 预防 蠕虫 的 感 
染 。 但 同时 ,对 于 通过 Internet 传播 的 蠕虫 ,事故 处 理 组 配置 相应 的 特征 码 可 能 要 花费 几 个 
小 时 甚至 几 天 的 时 间 ,在 没有 产生 相应 特征 码 的 情况 下 ,这 些 蠕 虫 就 无 法 被 反 病毒 软件 阻止 
了 。 所 以 , 反 病 毒 软件 是 一 个 重要 的 解决 方案 ,但 不 是 完整 的 解决 方案 ,还 需要 提高 预防 和 
响应 能 力 。 

2) 及 时 配置 补丁 程序 

为 了 防止 蠕虫 攻击 ,打造 一 个 完整 和 安全 的 操作 系统 是 很 重要 的 。 在 一 个 系统 连 上 网 
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络 之 前 ,必须 打 好 所 有 的 相关 补丁 并 且 加 固 所 有 的 配置 。 

3) 阻 断 任意 的 输出 连接 

一 旦 蠕虫 侵占 了 系统 ,常常 通过 建立 输出 连接 扫描 其 他 潜在 受害 者 ,进而 试图 传播 。 应 
该 严格 限制 所 有 来 自 公 共 访 问 系统 的 输出 连接 ,如 Web、DNS、E-mail、FTP 等 。 许 多 单位 
严格 过 滤 连 和 的 数据 ,但 是 却 忘记 了 输出 连接 ,从 而 使 感染 蠕虫 者 成 为 一 个 蠕虫 散布 者 。 

4) 建立 事故 响应 机 制 

对 于 一 些 重 要 系统 来 说 ,建立 一 个 计算 机 事故 响应 小 组 也 是 很 有 必要 的 ,具有 明确 的 处 
理 流程 以 对 抗 计算 机 攻击 者 .蠕虫 和 其 他 恶性 事件 。 





103 恶意 移动 代码 


在 浏览 网 站 时 ,经 常会 遇 到 移动 代码 ,这 些 代 码 采 用 Java applet、JavaScript 脚本 、 
VBScript 和 ActiveX 控件 等 形式 。 移 动 代码 是 一 种 小 型 程序 ,可 以 从 远程 系统 下 载 并 以 最 
小 限度 调用 或 者 以 不 需要 用 户 介 入 的 形式 在 本 地 执行 。 

移动 代码 的 基本 思想 就 是 该 程序 可 以 从 代码 所 在 的 服务 器 下 载 到 用 户 工 作 站 上 执行 ， 
能 够 让 网 站 设计 者 创建 动态 网 页 组 件 , 如 交互 导航 栏 。 用 户 的 浏览 器 首先 要 连接 远程 服务 
器 ,然后 检索 并 执行 那些 移动 代码 。 

移动 代码 轻便 的 特点 能 够 让 它 迅 速 地 传 遍 整 个 网 络 , 而 无 须 用 户 执行 烦琐 的 安装 过 程 。 
攻击 者 利用 了 移动 代码 的 这 个 特点 ,将 一 些 恶 意 的 行为 加 入 到 这 些 代码 中 ,如 监控 目标 的 浏 
览 器 活动 ,非法 访问 文件 系统 ,用 一 个 特洛伊 木马 感染 目标 计算 机 ,或 者 强迫 目标 计算 机 浏 
览 器 访问 指定 的 网 站 。 这 样 就 形成 了 恶意 移动 代码 。 


1. 浏览 器 脚本 


浏览 器 脚本 是 现今 最 流行 的 恶意 移动 代码 的 具体 形态 之 一 。 当 访问 一 个 混合 有 浏览 器 
脚本 的 网 页 时 ,浏览 器 会 自动 下 载 此 移动 代码 并 在 机 器 上 运行 。 站 点 的 开发 人 员 可 以 在 网 
页 中 插入 特定 的 HTML 标记 封装 的 脚本 ,这 些 标记 仅仅 是 用 于 浏览 器 的 特殊 标记 ,用 尖 括 
号 分 开 。 例 如 : 


< scrip type = "text/javascript"> //Script 开始 
function do_something() 


{ 

// 实 现 函 数 功能 的 代码 

j 

</script > //Script 结束 

这 些 Script 标记 标注 出 代码 段 的 开始 并 说 明 编 写 的 语言 。 一 旦 声明 了 一 个 函数 ,在 页 
面 的 其 他 地 方 就 用 do_somthing() 命 令 调 用 它 。 开 发 人 员 把 这 些 代码 放 在 Web 服务 器 一 
个 专门 的 文件 中 。 使 用 这 个 脚本 的 页 面 可 以 从 HTML 代码 中 访问 这 个 文件 ,例如 : 


< script type = "text/javascript”src = "myscript. js"> 


在 浏览 器 中 运行 的 脚本 可 与 其 源 网 页 中 的 其 他 内 容 进行 交互 , Web 浏览 器 限制 脚本 的 
行为 ,不 允许 直接 访问 网 络 或 文件 系统 。 虽 然 有 了 这 种 限制 行为 ,攻击 者 还 是 可 以 用 脚本 发 


10 章 恶意 代码 分 析 179 


种 








起 各 种 攻击 。 这 些 攻击 可 以 破坏 受害 计算 机 的 Web 浏览 器 ,甚至 接管 有 密码 保护 站 点 所 建 
立 的 用 户 会 话 。 下 面 是 一 些 恶意 代码 攻击 形式 。 

1) 拒绝 服务 攻击 

通过 大 量 消耗 可 利用 的 系统 资源 直到 使 应 用 程序 或 整个 系统 变 得 无 法 使 用 为 止 ,从 而 
实现 拒绝 服务 攻击 。 下 面 是 一 个 例子 , 它 利用 一 个 脚本 终止 用 户 的 浏览 器 ,而 且 可 能 会 使 用 
户 的 计算 机 重启 。 下 面 的 脚本 要 求 放 在 名 为 exploit. html 文件 中 。 

<html> 

<head> 

< script type = "text/javascript"> 

Function exploit() 

{ 

While(1) 

{ // 打 开 exploit. html 对 话 窗 口 ,进入 死 循环 

showModelessDialog("exploit. html"); 
} 
} 

</script > 

<title> Good-Bye </title> 

</head> 

<body onload = "exploit()"> // 只 要 这 个 页 面 被 加 载 , 则 运行 exploit 函数 

Aren't You sorry you came here? 

</body> 

</html > 

在 这 个 例子 中 ,ShowModelessDialog 函数 命令 浏览 器 打开 一 个 非 模式 对 话 框 , 这 个 对 
话 框 没有 按钮 ,而 且 总 在 窗口 的 最 前 方 ,除非 用 户 关闭 它 。 请 句 while(1) 创 建 了 一 个 死 循 
环 , 也 就 是 总 是 跳出 这 个 对 话 框 。 那 么 用 户 的 系统 就 总 是 忙 着 打开 新 的 对 话 框 而 无 法 响应 
其 他 的 命令 。 用 户 很 有 可 能 不 得 不 重启 系统 。 

另外 还 有 的 脚本 会 创建 一 个 HTML 模板 ,然后 试图 在 其 文字 部 分 插入 一 个 无 限 长 的 
字符 串 , 从 而 耗 尽 受 害 者 的 计算 机 资源 。 

要 防止 这 样 的 攻击 ,除了 禁用 脚本 和 只 访问 知名 网 站 外 ,保持 浏览 器 软件 的 不 断 更 新 也 
能 在 一 定 程度 上 起 作用 。 

2) 浏览 器 劫持 (browser hijacking) 

嵌入 浏览 器 的 脚本 功能 允许 网 站 的 开发 人 员 控 制 访问 者 的 浏览 器 。 脚 本 支持 如 下 功 
能 : 与 网 页 的 其 他 成 分 交互 ,访问 URL 信息 、 打 开 新 的 窗口 .四 处 拖 动 窗口 等 。 恶 意 脚本 会 
滥用 这 些 特权 ,会 打开 过 多 的 窗口 .让 用 户 访 问 有 害 的 站 点 、 非 法 增加 书签 ,甚至 监控 受害 者 
的 浏览 活动 ,以 这 种 方式 控制 用 户 浏览 器 的 方法 被 称 为 浏览 器 劫持 。 

例如 ,有 一 类 恶意 脚本 利用 了 onunload 事件 ,只 要 用 户 想 离开 这 个 页 面 ,这 个 事件 就 会 
自动 触发 。 

<html> 

<head> 

<title> Don't Leave Me </title> 

</head> 

< body onunload = "window. open( 'trap. html')"> // 当 试图 离开 , windows. open 将 重 载 这 个 页 面 


Looks like You're trapped here. 
</body> 
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</htm]l > 


这 个 例子 的 代码 被 放 在 名 为 trap. html 的 文件 中 。 无 论 用 户 试图 通过 关闭 这 个 窗口 ， 
还 是 浏览 另外 一 个 地 址 离开 这 个 页 面 ,onunload 时 间 都 会 触发 这 段 代 码 , 打 开 另 外 一 个 加 
载 了 trap. html 页 面 的 窗口 。 很 多 网 站 利用 这 个 技术 弹出 广告 。 

3) 窃取 Cookie 值 

浏览 器 的 Cookie 是 一 种 特殊 格式 的 数据 段 , 是 浏览 器 为 某 个 远程 网 站 保存 在 用 户 工 作 
站 上 的 一 段 数据 。 如 果 是 非 永 久 性 Cookie 只 用 于 一 次 浏览 器 会 话 , 当 关闭 连接 后 就 消失 。 
另外 一 种 情况 是 网 站 让 这 个 Cookie 稍 后 终止 ,能 够 把 一 些 用 户 设 置 的 参数 记忆 在 里 面 。 例 
如 ,采用 某 种 模式 访问 网 站 后 ,网 站 就 把 这 个 模式 记 住 , 用 户 下 次 进入 网 站 时 可 以 根据 用 户 
Cookie 里 保存 的 信息 依旧 以 这 种 模式 显示 。 

用 Cookie 在 访问 者 的 工作 站 中 保存 少量 数据 为 网 站 的 开发 人 员 提 供 了 很 多 方便 ,但 同 
时 也 为 攻击 者 提供 了 方便 ,他 们 有 机 会 完全 接管 一 个 已 确立 的 与 远程 站 点 的 会 话 。 

4) 跨 网 站 脚本 攻击 

攻击 者 进行 跨 网 站 脚本 攻击 时 ,就 会 对 一 个 易 攻 击 的 网 站 注入 恶意 代码 ,结果 浏览 器 的 使 
用 者 就 在 不 知 不 觉 中 执行 了 这 种 代码 。 这 样 的 代码 往往 是 以 脚本 文件 的 形式 存在 ,并 且 通 常 
被 配置 成 用 来 窃取 Web 站 点 设置 的 Cookie 或 其 他 与 被 攻击 浏览 器 相关 的 Cookies。 与 此 相关 
的 浏览 器 ,其 脚本 来 源 于 被 授权 访问 的 Cookies 和 其 他 页 面 的 元 素 , 很 容易 将 控制 权 移交 给 攻 
击 者 。 路 网 站 脚本 的 危害 波及 人 们 常用 的 搜索 引擎 .论坛 .网 上 购物 和 金融 网 站 。 


2. 其 他 恶意 移动 代码 


其 他 恶意 移动 代码 主要 有 以 下 3 种 形式 : 

1) ActiveX 

JavaScript 和 VBScript 允许 Web 服务 器 发 送 简单 的 脚本 给 Web 浏览 器 ,如 果 更 加 深 
入 地 了 解 Microsoft Windows 操作 系统 组 件 对 象 模型 (component object model,COMD) 的 实 
现 过 程 ,这 种 模型 允许 一 个 应 用 程序 访问 另 一 个 应 用 程序 的 模块 和 功能 。ActiveX 控件 是 
一 类 特殊 的 COM 对 象 , 可 供 其 他 用 户 下 载 并 在 网 页 中 使 用 。 

ActiveX 是 编译 程序 ,一 旦 在 用 户 的 计算 机 上 运行 ,就 能 够 实现 一 个 正规 程序 在 
Windows 中 能 实现 的 每 一 个 功能 : 访问 文件 和 注册 表 、 连 接 网 络 以 及 调用 其 他 程序 等 。 

到 目前 为 止 , 不 管 是 在 执行 有 益 的 操作 ,还 是 在 引发 危害 方面 ,ActiveX 控件 的 功能 都 
胜 过 浏览 器 脚本 的 能 力 。 

2) Java Applets 

Java Applets 是 一 段 用 Java 编写 的 可 嵌入 网 页 中 的 程序 。 像 ActiveX 控件 一 样 ,Java 
Applets 是 为 在 网 上 传送 而 设计 的 相对 小 的 程序 。 只 不 过 Java 由 Sun 公司 (已 被 Oracle 公 
司 收购 ) 领 导 ,直接 与 Microsoft 支持 的 ActiveX 竞争 。 与 ActiveX 不 同 的 是 ,Java Applets 
能 够 在 许多 操作 系统 和 浏览 器 上 运行 ,ActiveX 是 完全 基于 Windows 的 技术 。 

3) 电子 邮件 中 的 移动 代码 

大 部 分 的 电子 邮件 客户 软件 ,如 Outlook Mozilla Mail 中 都 包括 了 某 种 形式 的 Web 浏览 
器 功能 ,用 来 显示 HTML 格式 的 电子 邮件 信息 ,这 种 功能 通常 为 执行 嵌入 电子 邮件 信息 的 移 
动 代码 提供 了 支持 ,因此 ,前 面 讲 的 许多 Web 浏览 器 攻击 技术 ,对 Email 客户 软件 同样 适用 。 
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104 后 门 


后 门 是 一 个 允许 攻击 者 绕 过 系统 中 常规 安全 控制 机 制 的 程序 , 它 按照 攻击 者 自己 的 意 

例如 ,普通 用 户 可 能 需要 使 用 密码 或 智能 卡 之 类 的 设备 才能 进入 系统 ,而 了 解 后 门 的 攻 
击 者 则 不 需要 提供 密码 就 能 够 进入 系统 。 

许多 人 用 特洛伊 木马 或 简单 地 使 用 "特洛伊 ?这 个 词 形 容 每 个 后 门 ,实际 上 是 不 对 的 ,后 
门 只 是 简单 提供 通路 ,也 就 是 一 个 程序 仅 提供 后 门 通道 ,那么 它 只 是 一 个 后 门 , 如 果 可 以 伪 
装 成 一 个 有 用 的 程序 ,那么 它 便 是 特洛伊 木马 。 当 然 ,有 的 工具 可 以 同时 是 后 门 和 特洛伊 木 
马 。 关 于 特洛伊 木马 将 在 10. 5 节 讲 述 。 


1. 不 同类 型 的 后 门 


后 门 的 重点 在 于 为 攻击 者 提供 进入 目标 计算 机 的 通路 。 这 个 通路 可 以 表现 为 不 同形 
式 , 取 决 于 攻击 者 的 目的 地 和 所 使 用 的 特定 后 门类 型 。 

(1) 本 地 权限 的 提升 : 这 类 后 门 使 得 对 系统 有 访问 权 的 攻击 者 突然 变换 权限 等 级 成 为 
管理 员 , 有 了 这 些 超 级 用 户 权限 ,攻击 者 可 以 重新 设置 系统 或 访问 存储 在 系统 中 的 文件 。 

(2) 单个 命令 的 远程 执行 : 利用 这 种 类 型 的 后 门 ,攻击 者 可 以 向 目标 计算 机 发 送 消息 。 
每 次 执行 一 个 单独 的 命令 ,并 且 返 回 输出 。 

(3) 远程 命令 行 访问 : 这 是 一 种 远程 的 shell(remote shell) ,这 种 类 型 的 后 门 允许 攻击 
者 通过 网 络 快 速 直 接地 输入 受害 计算 机 的 命令 。 攻 击 者 可 以 利用 命令 行 工 具 所 有 的 操作 ， 
包括 执行 一 个 命令 集合 ,选择 一 些 文件 操作 。 远 程 shell 比 简单 的 单 命令 远程 执行 要 强大 得 
多 ,因为 它们 可 以 模拟 攻击 者 对 目标 计算 机 键盘 有 直接 访问 权 的 情况 。 

(4) 远程 控制 GUI: 这 是 最 彻底 的 远程 控制 ,可 以 让 攻击 者 看 到 目标 计算 机 的 桌面 ,看 
到 受害 者 对 计算 机 的 所 有 操作 和 内 容 。 同 时 攻击 者 能 够 控制 鼠标 的 移动 ,输入 对 键盘 的 操 
作 , 对 目标 计算 机 进行 最 彻底 的 监管 。 

无 论 后 门 提 供 何 种 类 型 的 访问 ,这 些 方法 的 重点 都 在 控制 ,使 攻击 者 可 以 控制 计算 机 ， 
一 切 都 通过 网 络 远程 实现 。 利 用 后 门 , 攻 击 者 可 以 像 受害 计算 机 本 身 的 管理 员 一 样 对 其 进 
行 控制 ,并且 , 他 可 以 通过 Internet 在 全 世界 任何 地 方 实现 该 控制 。 


2. 安装 后 门 


为 了 实现 强大 的 功能 ,必须 首先 把 后 门 装 入 目标 计算 机 。 有 许多 可 选择 的 方法 ,如 通过 
缓冲 区 溢出 的 漏洞 或 者 典型 的 系统 错误 配置 ,也 可 以 利用 一 个 自动 化 的 程序 安装 后 门 , 例 如 
我 们 前 面 提 到 的 病毒 .蠕虫 和 恶意 移动 代码 。 

安装 后 门 的 另外 一 类 方法 是 欺骗 受害 者 使 之 自己 安装 ,可 能 会 通过 E-mail 向 受害 者 发 
一 个 程序 或 利用 远程 文件 共享 的 方式 将 这 样 的 程序 写 入 受害 者 的 硬盘 。 当 受害 者 在 不 明 真 
相 的 情况 下 运行 了 这 样 的 程序 ,那么 后 门 就 在 不 知 不 觉 中 安装 进 了 目标 机 器 。 

后 门 是 在 安装 后 门 程序 用 户 允 许 的 前 提 下 运行 的 。 如 果 一 个 攻击 者 在 目标 系统 中 获得 
超级 用 户 权 限 , 攻 击 者 安装 的 后 门将 以 超级 用 户 权 限 运行 。 类 似 的 ,如 果 攻 击 者 只 能 欺骗 具 
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有 有 限 权 限 的 低级 用 户 安装 后 门 ,那么 攻击 者 对 于 该 目标 计算 机 而 言 , 也 就 只 有 这 个 用 户 所 
拥有 的 有 限 权 限 。 因 此 ,后 门 为 攻击 者 提供 的 对 该 系统 的 控制 取决 于 安装 此 后 门 的 用 户 的 
权限 等 级 。 

3. 自动 启动 后 门 

一 旦 攻击 者 闯 入 了 系统 并 安装 了 后 门 , 通 常会 手动 激活 该 后 门 程序 。 然 而 , 当 攻 击 者 退 
出 计算 机 后 ,就 不 再 直接 控制 系统 。 所 以 攻击 者 通常 会 让 计算 机 定期 的 自动 重新 启动 后 门 ， 
特别 是 在 系统 启动 期 间 。 

1) 设置 Windows 后 门 启 动 

Windows 具有 不 同 的 自动 程序 启动 能 力 ,攻击 者 可 以 将 一 个 可 执行 文件 或 脚本 的 名 字 
置 于 任意 一 个 不 同位 置 , 这 会 使 操作 系统 自动 启动 该 程序 。 通 常 来 讲 , Windows 提供 三 种 
类 型 的 机 制 用 于 自动 启动 恶意 代码 , 即 少 数 的 自 启动 文件 或 者 文件 夹 ,注册 表 设 置 启动 和 预 
定 任务 。 

2) 设置 UNIX 后 门 启动 

设置 UNIX 后 门 启动 主要 包括 增加 或 修改 系统 初始 化 脚本 、 修 改 Internet daemon 
(Cinetd) 配 置 、 转 换 用 户 环 境 和 调度 作业 等 。 

为 了 防止 攻击 者 自动 启动 后 门 程序 ,需要 检查 各 种 各 样 的 自 启动 信息 和 注册 表 , 用 手工 
的 方式 非常 麻烦 ,有 一 些 自动 化 的 检测 工具 可 以 使 用 。 例 如 ,Windows 环境 中 的 AutoRun 
免费 工具 ,可 以 自动 列 出 Windows NT/2000/XP 计算 机 中 所 有 的 自 启动 任务 ,另外 还 有 
Ionx Data Sentinel 等 工具 ; 在 UNIX 系统 下 ,可 以 采用 Tripwire 免费 版 本 ,还 有 开源 工具 
AIDE 等 。 


4. GUI 后 门 


攻击 者 一 般 通 过 后 门 远程 访问 命令 行 解释 器 。 这 种 方法 对 于 某 些 攻击 者 来 说 远 远 不 
够 ,他 们 和 希望 能 够 像 坐 在 受害 计算 机 前 面 一 样 , 操 作 系统 控制 台 本 身 , 包 括 控制 GUI\ 查 看 
受害 计算 机 的 屏幕 、 移 动 鼠标 、 进 行 按钮 操作 等 。 为 了 实现 这 类 访问 ,攻击 者 利用 各 种 工具 ， 
对 目标 系统 的 GUI 进行 远程 监控 。 

这 些 工 具 都 包括 一 个 客户 端 和 一 个 服务 器 端 。 客 户 端 放 在 控制 者 的 计算 机 中 ,服务 器 
端 放置 在 被 控制 的 计算 机 中 ,控制 者 通过 客户 端 与 被 控制 计算 机 的 服务 器 端 建立 远程 连接 。 
一 旦 连接 建立 ,控制 者 就 可 以 对 被 控制 计算 机 发 送 指令 ,如 图 10-3 所 示 。 

















远程 控制 客户 端 远程 控制 服务 器 端 
(位 于 控制 者 计算 机 上 ) (位 于 被 控制 的 计算 机 上 ) 


图 10-3 远程 监控 








图 10-4 所 示 是 Radmin 在 实现 远程 控制 时 ,在 控制 端 看 到 的 被 控制 端的 GUI。 
并 非 所 有 的 GUI 远程 监控 都 是 恶意 的 。 事 实 上 ,很 多 合法 的 商业 产品 允许 远程 用 户 、 
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系统 管理 员 使 用 用 户 计算 机 的 GUI。 表 10-3 所 示 为 一 些 商业 公司 或 个 人 的 GUI 工具 。 合 
法 的 系统 管理 员 往 往 利 用 这 些 工具 非常 轻松 地 访问 远程 系统 ,使 之 可 以 通过 网 络 管理 计 








算 机 。 
区 
一 Computer 
Programs 
a 
@ seting: 
1 sm 
@ Help and Support 
E24 
eT 
10-4 运行 Radmin 监控 被 控制 端 
表 10-3 远程 访问 工具 
工 具 发 布 该 工具 的 组 织 操作 系统 支持 备 注 
Virtual Network Computing ATR&T Laboratories Windows 免费 开源 
(VNC) Cambridge 
Windows Microsoft Windows Microsoft 旗舰 产品 ,针对 服 
Terminal Service 务 器 GUI 远程 访问 
Remote Desktop Service ”Microsoft Windows XP 和 2003 Windows Terminal Service 的 
分 离 版 本 
PCAnywhere Symantec Corporation Windows 目前 占据 了 相当 数量 的 市 场 
份额 ,比较 便宜 的 商业 工具 
DameWare DameWare Windows 商业 工具 ,商业 版 用 于 远程 管 
Development, LLC 理 , 免 费 版 提供 部 分 功能 
GoToMyPC Expertcity, Inc. Windows 允许 通过 Internet, 利 用 浏览 
器 进行 远程 GUI 访问 
Back Orifice 2000 Cult of the Dead Cow Windows 由 黑客 组 织 发 布 ,功能 强大 
地 下 组 织 
SubSeven Mobman ,程序 员 Windows 至 今 为 止 最 流行 的 后 门 之 一 
Radmin Famatech 公司 Windows 远程 控制 软件 ,在 国内 比较 


流行 
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105 特洛伊 木马 


这 类 恶意 代码 是 根据 古 希 腊 神 话 中 的 木马 命名 的 , 它 从 表面 上 看 是 正常 的 程序 ,但 是 实 
际 上 却 隐 含 着 恶意 意图 。 人 们 称 它 为 “特洛伊 木马 ” ,简称 "木马 ” 。 

一 些 木马 程序 会 通过 覆盖 系统 中 已 经 存在 的 文件 的 方式 存在 于 系统 之 中 ,同时 可 以 携 
带 恶 意 代 码 , 还 有 一 些 木马 会 以 一 个 软件 的 身份 出 现 (如 一 个 可 供 下 载 的 游戏 ) ,但 它 实际 上 
是 一 个 窃取 密码 的 工具 。 这 种 木马 通常 不 容易 被 发 现 ,因为 它 一 般 是 以 一 个 正常 的 应 用 的 
身份 在 系统 中 运行 的 。 特 洛 伊 木马 可 以 分 为 以 下 三 种 模式 : 

(1) 通常 潜伏 在 正常 的 程序 应 用 中 ,附带 执行 独立 的 恶意 操作 。 

(2) 通常 潜伏 在 正常 的 程序 应 用 中 ,但 是 会 修改 正常 的 应 用 进行 恶意 操作 。 

(3) 完全 覆盖 正常 的 程序 应 用 ,执行 恶意 操作 。 

需要 明确 的 是 ,不 能 直接 把 10.4 节 提 到 的 各 种 远程 控制 的 工具 简单 看 作 特 洛 伊 木马 。 
如 果 一 个 程序 仅仅 提供 远程 访问 ,那么 它 只 是 一 个 后 门 。 如 果 攻 击 者 把 这 些 工具 伪装 成 某 
些 其 他 良性 程序 时 , 才 是 真正 的 特洛伊 森马。 实际 上 ,大 多 数 木马 都 对 后 门 进 行 伪 装 ,使 木 
马 的 控制 者 登录 到 被 感染 计算 机 上 ,并 拥有 绝 大 部 分 的 管理 员 级 控制 权限 。 

通常 木马 所 具备 的 另 一 个 功能 是 发 动 拒绝 服务 攻击 。 

还 有 一 些 木 马 不 具 备 远 程 登录 的 功能 。 它 们 的 存在 只 是 为 了 隐藏 恶意 进程 的 痕迹 ,如 
使 恶意 进程 不 在 进程 列表 中 显示 出 来 。 另 一 些 木马 用 于 收集 信息 ,如 被 感染 计算 机 的 密码 ; 
木马 还 可 以 把 收集 到 的 密码 列表 发 送 到 互联 网 中 一 个 指定 的 邮件 账户 中 。 


1. 修改 名 字 


一 种 最 简单 的 特洛伊 木马 是 通过 在 Windows 计算 机 中 的 程序 名 和 扩展 名 之 间 加 入 空 
格 ,为 恶意 程序 赋予 一 个 良性 程序 的 名 字 ,使 它 不 被 管理 员 发 现 。 

例如 ,我 的 文件 . txt. exe”, 由 于 有 时 候 用 户 设 置 为 不 显示 扩展 名 ,这 个 特洛伊 木马 在 
计算 机 里 面 的 显示 则 为 “我 的 文件 . txt”, 让 用 户 以 为 它 只 是 一 个 文本 文件 ,欺骗 他 们 执行 这 
些 可 执行 文件 。 不 过 这 种 方法 对 于 有 经 验 的 用 户 来 说 已 经 不 太 实用 了 。 
另外 攻击 者 会 创建 另外 一 个 文件 和 程序 ,该 程序 与 安装 在 这 人 台 计 算 机 上 的 一 个 程序 具 
有 完全 相同 的 名 字 。 例 如 ,在 Windows 系统 的 任务 管理 器 中 ,如 果 发 现 两 个 iexplore 进程 ， 
有 可 能 其 中 一 个 是 木马 。 


2. 包装 工具 


攻击 者 会 把 两 个 或 多 个 可 执行 文件 打包 成 一 个 单独 的 软件 包 , 创 建 一 个 看 起 来 很 正常 
的 软件 包 , 当 用 户 运行 这 个 软件 时 ,首先 会 安装 恶意 的 代码 ,然后 才 执 行 正常 代码 。 绝 大 多 
数 的 恶意 软件 在 屏幕 上 没有 任何 显示 ,所 以 受害 者 往往 觉察 不 到 。 例 如 ,攻击 者 可 能 把 一 个 
远程 控制 软件 和 一 个 小 游戏 捆绑 在 一 起 , 当 用 户 运 行 这 个 小 游戏 的 时 候 ,首先 运行 了 远程 控 
制 软件 的 服务 器 端 ,然后 才 开 始 游 戏 。 通 过 包装 工具 在 正常 程序 里 面 加 入 恶意 代码 的 过 程 
如 图 10-5 所 示 。 

攻击 者 会 使 用 一 个 包装 工具 将 两 个 可 执行 程序 结合 在 一 起 ,甚至 不 用 写 一 行 代码 就 可 





10 章 恶意 代码 分 析 185 


小 
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图 10-5 通过 包装 工具 在 正常 程序 里 面 加 入 恶意 代码 























以 创建 一 个 特洛伊 木马 。 例 如 ,EliteWrap 工具 可 以 将 一 个 或 多 个 可 执行 文件 结合 到 一 起 。 
更 有 其 者 ,有 些 包装 工具 其 至 可 以 对 包装 后 的 恶意 代码 进行 加 密 , 使 得 目标 计算 机 上 的 防 病 
毒 软件 更 难 识别 恶意 代码 ,如 AFX File Lace。 

为 了 保护 系统 不 受 这 种 特洛伊 木马 的 攻击 ,可 以 首先 检查 软件 的 大 小 ,一般 来 说 ,加 
入 了 恶意 代码 的 软件 占用 的 字 节 数 会 变 大 。 当 然 ,最 可 靠 的 办 法 还 是 用 防 病 毒 软件 检查 
= 本 


3. 特洛伊 软件 发 布 


攻击 者 把 软件 下 载 作为 攻击 目标 ,用 来 发 布 特洛伊 木马。 他 们 攻击 用 于 软件 发 布 的 
Internet 站 点 ,然后 将 一 个 特洛伊 木马 伪装 成 正常 程序 放置 到 站 点 里 供用 户 下 载 。 这 种 方 
法 使 特洛伊 木马 更 为 广泛 地 传播 。 每 个 下 载 并 安装 了 这 个 软件 的 人 都 会 受到 攻击 。 

2002 年 ,当时 流行 的 嗅 探 程序 Tcpdump 在 主要 的 Tcpdump Web 站 点 被 替换 成 特洛伊 
木马 后 门 。 具 有 讽刺 意味 的 是 ,Tcpdump 是 一 个 安全 工具 ,所 以 很 多 安全 从 业 人 员 的 计算 
机 里 也 被 安装 了 一 个 后 门 。 

为 了 防御 这 样 的 攻击 ,一 方面 ,用 户 应 该 在 正规 网 站 上 下 载 软件 ,因为 攻击 一 个 知名 网 
站 比 建立 一 个 假 的 下 载 网 站 要 困难 得 多 。 另 外 ,有 些 软件 在 发 布 的 时 候 提供 了 软件 的 Hash 
值 ,一 般 为 128 位 或 160 位 。 在 下 载 到 软件 后 ,利用 Hash 值 生 成 工具 对 软件 重新 计算 
Hash 值 。 与 发 行 时 厂商 提供 的 Hash 值 相 比较 ,如 果 相 同 , 则 表示 软件 没有 被 修改 过 ; 如 
果 不 同 , 则 很 有 可 能 被 加 入 了 恶意 代码 。 


4. 源 代码 中 的 特洛伊 


也 许 最 令 人 担心 的 特洛伊 木马 携带 者 是 那些 在 发 布 之 前 就 已 经 被 插入 恶意 代码 的 软件 
产品 。 如 果 攻 击 者 就 职 于 软件 开发 公司 或 入 侵 了 这 样 的 公司 ,他 们 就 有 机 会 在 一 个 产品 的 
源码 中 植 入 特洛伊 木马 ,用 恶意 软件 感染 毫 无 戒备 的 用 户 。 

Ken Thompson, 著 名 的 UNIX 系统 创造 者 之 一 和 C 语言 大 师 在 1984 年 发 表 的 
《Reflections on Trusting Trust)》 论 文中 ,讨论 了 控制 源 代码 的 重要 性 和 在 源 代码 中 植 入 后 
门 的 可 能 性 。 在 这 篇 经 典 的 论文 中 ,Thompson 描述 了 通过 修改 一 个 编译 器 的 源 代码 ,使 该 
编译 器 对 它 编译 过 的 所 有 代码 创建 一 个 后 门 的 方法 。 

这 个 问题 比 起 为 软件 站 点 植 和 人 特洛伊 木马 更 加 严重 。 当 攻击 者 在 软件 发 行 站 点 植 人 
木马 时 ,该 软件 的 开发 人 员 至 少 还 有 一 份 这 个 软件 的 “干净 ?版 本 。 还 可 以 用 来 蔡 换 被 修 
改过 的 版 本 。 如 果 在 软件 开发 过 程 中 就 植 人 木马 的 话 ,软件 厂商 甚至 连 一 份 未 经 感染 的 
软件 都 没有 。 如 果 攻 击 者 足够 聪明 , 它 可 能 会 在 正常 的 代码 中 遍布 不 显眼 的 小 后 门 ,这 
时 的 根除 后 门 的 工作 十 分 困难 。 软 件 开 发 人 员 不 得 不 扫描 大 量 的 代码 ,来 确保 整个 产品 
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的 完整 性 。 

由 于 当今 软件 巨大 的 复杂 性 和 测试 的 局 限 性 ,以 及 软件 开发 朝 着 全 球 化 方向 发 展 , 这 些 
都 使 这 一 趋势 愈加 有 恶化。 为 了 防御 这 种 攻击 模式 ,要 确保 系统 环境 下 使 用 的 软件 都 具有 功 
能 强大 的 完整 性 控制 和 测试 体制 ,只 有 依靠 彻底 的 质量 监督 过 程 和 对 源 代码 的 控制 ,才能 够 
改善 这 种 源 代码 不 可 信任 的 状态 。 





106 RootKit 


前 面 讲 到 的 后 门 和 特洛伊 木马 都 是 由 攻击 者 添加 到 系统 中 的 新 软件 ,不 会 蔡 换 或 修改 
受害 者 系统 的 组 件 , 这 些 木马 和 后 门 每 一 个 都 作为 一 个 单独 的 程序 在 系统 中 运行 。 而 
RootKit 却 是 通过 控制 目标 计算 机 操作 系统 软件 中 的 关键 组 件 获取 某 些 权限 并 且 隐 藏 在 系 
统 中 。 在 本 节 ,给 出 的 RootKit 的 定义 如 下 : 

RootKit 是 一 种 特洛伊 木马 工具 ,通过 修改 现 有 的 操作 系统 软件 ,使 攻击 者 获得 访问 权 
并 隐藏 在 计算 机 中 。 但 是 它 和 传统 的 特洛伊 木马 又 有 区 别 : RootKit 首先 在 目标 计算 机 上 
获取 与 操作 系统 相关 联 的 常规 程序 ,然后 用 恶意 版 本 替代 它们 。 

例如 ,攻击 者 可 以 用 RootKit 替换 dir 命令 。 标 准 的 dir 命令 用 来 列 出 一 个 目录 中 内 
容 , 而 经 过 替换 后 ,输入 dir, 则 后 果 是 除了 列 出 目录 中 内 容 , 还 完成 了 其 他 恶意 的 行为 。 另 
外 还 有 UNIX 中 的 ls 命令 也 容易 被 替换 。sshd(secure shell server) 命 令 用 来 实现 经 过 加 
密 和 强 验证 的 远程 访问 ,经 过 替换 后 ,新 版 本 允许 普通 用 户 像 往常 一 样 登录 ,而 且 允 许 攻 击 
者 用 后 门 密码 潜入 系统 。 

RootKit 出 现 于 20 世纪 90 年 代 初 ,在 1994 年 2 月 的 一 篇 安全 咨询 报告 中 首先 使 用 了 
RootKit 这 个 名 词 。 这 篇 安全 咨询 就 是 CERT-CC 的 CA-1994-01, 题目 是 Ongoing 
Network Monitoring Attacks, 最 新 的 修订 时 间 是 1997 年 9 月 19 日 。 这 个 词 源 于 UNIX 系 
统 中 的 超级 用 户 账 号 。 从 出 现 至 今 ,RootKit 的 技术 发 展 非常 迅速 ,应 用 越 来 越 广泛 ,检测 
难度 也 越 来 越 大 。 

RootKit 没有 特别 恰当 的 中 文 翻译 ,虽然 也 有 人 按 字面 翻译 成 管理 员工 具 包 ,但 是 这 个 
说 法 完全 不 能 说 明 其 作用 ,甚至 会 造成 歧义 。 因 为 RootKit 本 身 就 不 是 管理 员 希 望 看 到 的 
东西 。 所 以 一 般 的 书籍 和 文献 中 ,都 直接 用 其 英文 名 称 RootKit 。 

RootKit 可 以 运行 在 两 个 不 同 的 层次 上 ,这 取决 于 它 蔡 换 和 修改 了 目标 系统 中 的 哪 种 
软件 。 如 果 蔡 换 或 修改 了 系统 中 现 有 的 二 进 制 可 执行 文件 或 库 文件 , 称 为 用 户 模式 
RootKit(user-mode RootKit) ,因为 它 控制 的 是 操作 系统 用 户 级 组 件 ,通常 被 RootKit 替换 
的 系统 程序 有 login、ifconfig、du,find、ls、netstart、ps 等 。 如 果 替 换 和 修改 的 是 操作 系统 的 
内 核 部 分 , 则 称 为 内 核 模式 RootKit(kernel-mode RootKit) ,内 核 级 RootKit 使 攻击 者 获得 
对 系统 底层 的 完全 控制 权 。 攻 击 者 可 以 修改 系统 内 核 , 大 多 数 内 核 级 RootKit 都 能 进行 
执行 重 定 向 , 即 截获 运行 某 一 程序 的 命令 ,将 其 重 定 向 到 入 侵 者 所 选中 的 程序 并 运行 此 程 
序 。 也 就 是 说 用 户 或 管理 员 要 运行 程序 A, 被 修改 过 的 内 核 假装 执行 A, 实 际 却 执行 了 程 
序 B。 

图 10-6 所 示 是 普通 的 特洛伊 木马 后 门 和 用 户 模式 RootKit 的 比较 ,应 用 程序 级 特洛伊 
木马 为 应 用 程序 级 恶意 软件 。 使 用 这 样 的 工具 ,有 害 的 应 用 程序 允许 攻击 者 访问 ,目标 计算 
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机 底层 的 操作 系统 包括 各 种 各 样 的 程序 、 库 ,以 及 内 核 都 完好 无 损 。 用 户 模式 的 RootKit 则 
可 以 深入 系统 ,替换 目标 系统 的 可 执行 程序 ,如 ls 和 sshd 和 各 种 共享 代码 库 。 这 些 蔡 换 程 
序 看 上 去 完好 ,掩饰 了 系统 中 攻击 者 的 存在 。 
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图 10-6 特洛伊 木马 后 门 和 用 户 模 式 RootKit 的 比较 


RootKit 本 身 并 不 能 直接 获得 权限 ,而 是 在 入 侵 者 通过 各 种 方法 获得 权限 后 才能 使 用 
的 一 种 保护 权限 的 措施 ,在 获取 系统 根 权 限 (root 权限 ,是 UNIX 系统 的 最 高 权限 ,在 
Windows 下 为 administrator) 以 后 ,RootKit 提供 了 一 套 工具 用 来 建立 后 门 和 隐藏 行 迹 ,从 
而 让 攻击 者 保住 权限 。 

普通 的 RootKit 通过 替换 系统 文件 保持 权限 安装 后 门 ,也 就 是 当 用 户 执行 这 些 命令 的 
时 候 , 实 际 上 执行 的 是 被 RootKit 修改 的 程序 。 它 对 一 系列 操作 系统 均 有 效 ,但 主要 是 针对 
UNIX 的 ,如 Linux、AIX、SunOS 等 操作 系统 。 其 中 针对 SunOS 和 Linux 两 种 操作 系统 的 
RootKit 最 多 。 

为 了 获得 最 强大 的 破坏 力 , 许 多 RootKit 由 众多 组 件 组 成 ,其 中 一 些 包 含 了 十 几 个 甚至 
更 多 不 同 程序 的 蔡 换 者 ,还 包括 各 种 辅助 工具 ,用 来 调整 那些 被 替换 程序 的 特征 ,包括 程序 
大 小 和 上 次 修改 日 期 等 ,从 而 使 这 些 程序 看 上 去 是 正常 的 。 

防御 它 的 最 有 效 的 方法 是 定期 地 对 重要 系统 文件 的 完整 性 进行 核查 ,这 类 的 工具 很 多 ， 
像 Tripwire 就 是 一 个 非常 不 错 的 文件 完整 性 检查 工具 。 一 旦 发 现 文件 被 修改 ,必须 完全 重 
新 安装 所 有 的 系统 文件 部 件 和 程序 ,以 确保 安全 。 
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保障 网 络 安全 是 一 个 系统 工程 ,仅仅 靠 一 种 或 几 种 安全 技术 是 无 法 完成 的 。 一 个 高 可 
靠 性 的 网 络 安全 防御 系统 在 管理 上 要 具备 完善 的 制度 ,在 技术 上 则 是 一 个 包含 各 种 安全 技 
术 的 合理 组 合 ,包括 防火 墙 系统 .人 侵 检测 /防御 系统 、 防 病毒 系统 等 。 


11.1 防火 墙 系统 


防火 墙 是 目前 应 用 非常 广泛 且 效 果 良 好 的 信息 安全 技术 ,可 以 防御 网 络 中 的 各 种 威 
胁 ,并 且 做 出 及 时 的 响应 ,将 那些 危险 的 连接 和 攻击 行为 隔绝 在 外 ,从 而 降低 网 络 的 整体 
风险 。 

自从 20 世纪 90 年 代 进 入 市 场 以 来 ,防火 墙 技 术 经 过 20 年 的 发 展 已 经 经 历 了 实质 性 的 
改变 ,从 早期 的 包 过 滤 设 备 演变 为 目前 复杂 的 网 络 过 滤 系 统 。Internet 的 蓬勃 发 展 所 带 来 
的 安全 问题 , 极 大 地 促进 了 防火 墙 技术 的 发 展 ,使 得 今天 的 防火 墙 在 过 滤 特 性 上 变 得 更 加 复 
杂 , 增 加 了 诸如 状态 过 滤 、 虚 拟 专用 网 、 入 侵 检 测 系 统 、 组 播 路 由 选择 、 连 接 认 证 ,动态 主机 配 
置 协议 服务 和 很 多 其 他 特性 。 对 于 一 个 网 络 安全 防御 系统 而 言 , 防 火 墙 往往 被 看 作 是 防御 
的 第 一 层 。 


1111 防火 墙 的 定义 


对 防火 墙 的 明确 定义 来 自 AT&T 公司 的 两 位 工程 师 Willam Cheswick 和 Steven 
Beellovin。 防 火 墙 是 位 于 两 个 (或 多 个 ) 网 络 间 ,实施 网 间 访 问 控制 的 一 组 组 件 的 集合 , 它 满 
足以 下 条 件 ， 

(1) 内 部 和 外 部 之 间 的 所 有 网 络 数据 流 必 须 经 过 防火 墙 。 

(2) 有 符合 安全 政策 的 数据 流 才能 通过 防火 墙 。 

(3) 防火 墙 自 身 能 抗 攻击 。 

在 建筑 上 ,防火 墙 被 设计 用 来 防止 火势 从 建筑 物 的 一 部 分 营 延 到 另 一 部 分 。 网 络 防火 
墙 防止 外 部 网 络 的 损失 波及 内 部 网 络 , 它 就 像 在 网 络 周围 挖 了 一 条 护城河 ,在 唯一 的 桥 上 设 
立 了 安全 哨所 ,进出 的 行人 都 要 接受 安全 检查 。 由 于 防火 墙 的 地 位 和 作用 是 处 于 网 络 边 界 
的 位 置 ,防火 墙 可 以 由 硬件 、 软 件 或 它们 的 相互 结合 具体 实现 。 
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防火 墙 用 于 保护 可 信和 网 络 免 受 非 可 信和 网 络 的 威胁 ,同时 , 仍 允 许 双方 通信 。 目 前 ,许多 
防火 墙 都 用 于 Internet 和 内 部 网 之 间 ( 如 图 11-1 所 示 ) ,同时 在 任何 网 间 和 企业 网 内 部 均 可 


使 用 防火 墙 。 


防火 
11-1 防火 墙 示意 图 


可 以 把 防火 墙 看 作 是 在 可 信任 网 络 和 不 可 信任 网 络 之 间 的 一 个 缓冲 系统 ,可 以 是 一 台 
有 访问 控制 策略 的 路 由 器 ,或 一 台 多 个 网 络 接口 的 计算 机 ,也 可 以 是 安装 在 某 台 特定 机 器 上 
的 软件 。 它 被 配置 成 保护 指定 网 络 , 使 其 免 受 来 自 于 非 信 任 网 络 区域 的 某 些 协议 与 服务 的 
影响 。 所 以 一 般 情 况 下 防火 墙 都 位 于 网 络 的 边界 ,如 保护 企业 网 络 的 防火 墙 往往 部 署 在 内 
部 网 络 到 外 部 网 络 的 核心 区 域 上 。 

早期 的 防火 墙 主要 用 来 提供 服务 控制 ,现在 已 经 扩展 为 多 种 服务 ,还 包括 方向 控制 .用 
户 控制 ,行为 控制 等 。 

。 服务 控制 : 确定 哪些 服务 可 以 被 访问 。 

。 方向 控制 : 对 于 特定 的 服务 ,可 以 确定 允许 哪个 方向 能 够 通过 防火 墙 。 

。 用 户 控制 : 根据 用 户 身份 控制 对 服务 的 访问 。 

。 行为 控制 : 控制 一 个 特定 的 服务 的 行为 。 

防火 墙 成 为 内 部 网 络 与 不 可 信任 网 络 进 行 联络 的 唯一 纽带 ,通过 部 署 防火 墙 ,就 可 以 通 
过 关注 防火 墙 的 安全 保护 其 内 部 的 网 络 安全 。 并 且 所 有 的 通信 流量 都 通过 防火 墙 进行 审 记 
和 保存 ,为 网 络 安 全 犯罪 的 调查 取证 提供 了 依据 。 总 之 ,防火 墙 减轻 了 网 络 和 系统 被 用 于 非 
法 和 恶意 目的 的 风险 。 

需要 注意 的 是 ,不 能 狭义 地 将 防火 墙 理 解 为 一 套 软 件 或 一 台 设 备 。 因 为 通常 使 用 不 止 
一 种 技术 和 不 止 一 台 设 备 实 施 整 个 防火 墙 方案 ,所 以 防火 墙 应 该 理解 为 一 个 防火 墙 系统 ,或 
说 一 套 防 火 墙 解决 方案 。 


11.12 防火 墙 的 分 类 


防火 墙 的 产生 和 发 展 已 经 历 了 相当 一 段 时 间 ,根据 不 同 的 标准 ,其 分 类 方法 也 各 不 相同 。 
1. 根据 防火 墙 形式 分 类 


如 果 从 防火 墙 的 软 、 硬 件 形式 来 分 的 话 ,防火 墙 可 以 分 为 软件 防火 墙 和 硬件 防火 墙 以 及 
芯片 级 防火 墙 。 

1) 软件 防火 墙 

运行 于 特定 的 计算 机 上 , 它 需要 客户 预先 安装 的 计算 机 操作 系统 的 支持 ,一 般 来 说 这 台 
计算 机 就 是 整个 网 络 的 网 关 。 就 像 其 他 的 软件 产品 一 样 需 要 先 在 计算 机 上 安装 并 配置 才 可 
以 使 用 。 防 火 墙 厂 商 中 做 网 络 版 软件 防火 墙 最 出 名 的 莫 过 于 Checkpoint。 使 用 这 类 防火 
墙 ,需要 网 管 对 所 工作 的 操作 系统 平台 比较 熟悉 。 
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2) 硬件 防火 墙 

这 里 说 的 硬件 防火 墙 指 "所谓 的 硬件 防火 墙 "。 之 所 以 加 上 “所 谓 ” 二 字 , 是 针对 忌 片 级 
防火 墙 说 的 了 。 它 们 最 大 的 差别 在 于 是 否 基于 专用 的 硬件 平台 。 目 前 市 场 上 大 多 数 防火 墙 
都 是 这 种 所 谓 的 硬件 防火 墙 , 都 基于 PC 架构 ,就 是 说 ,它们 和 普通 的 家 庭 用 的 PC 没有 太 大 
区 别 。 在 这 些 PC 架构 计算 机 上 运行 一 些 经 过 裁剪 和 简化 的 操作 系统 ,最 常用 的 有 UNIX、 
Linux 和 FreeBSD 系统 。 值 得 注意 的 是 ,由 于 此 类 防火 墙 采用 的 依然 是 别人 的 内 核 ,因此 依 
然 会 受到 操作 系统 本 身 的 安全 性 影响 。 

传统 硬件 防火 墙 一 般 至 少 应 具备 三 个 端口 ,分 别 接 内 网 ,外 网 和 非 军事 化 区 ,现在 一 些 
新 的 硬件 防火 墙 往往 扩展 了 端口 ,常见 四 端口 防火 墙 一 般 将 第 四 个 端口 作为 配置 口 .管理 端 
口 。 很 多 防火 墙 还 可 以 进一步 扩展 端口 数目 。 

3) 芯片 级 防火 墙 

芯片 级 防火 墙 基于 专门 的 硬件 平台 ,没有 操作 系统 。 专 有 的 ASIC 芯片 促使 它们 比 其 
他 种 类 的 防火 墙 速度 更 快 ,处 理 能 力 更 强 , 性 能 更 高 。 做 这 类 防火 墙 最 出 名 的 厂商 有 
NetScreen、FortiNet、Cisco 等 公司 。 这 类 防火 墙 由 于 是 专用 OS( 操 作 系 统 ), 因 此 防火 墙 本 
身 的 漏洞 少 ,不 过 价格 相对 较 高 。 


2. 根据 防火 墙 结构 分 类 


从 防火 墙 结构 上 分 ,防火 墙 主 要 有 单一 主机 防火 墙 路 由 器 集成 式 防 火 墙 和 分 布 式 防火 
墙 三 种 。 

1) 单一 主机 防火 墙 

这 种 是 最 为 传统 的 防火 墙 , 独 立 于 其 他 网 络 设备 ,位 于 网 络 边界 。 这 种 防火 墙 其 实 与 一 
台 计算 机 结构 差不多 ,同样 包括 CPU 内存 、 硬 盘 等 基本 组 件 , 且 主板 上 也 有 南 .北桥 芯 

它 与 一 般 计 算 机 最 主要 的 区 别 是 防火 墙 一 般 都 集成 了 两 个 以 上 的 以 太 网 卡 , 因 为 需要 
连接 一 个 以 上 的 内 、 外 部 网 络 。 其 中 的 硬盘 就 是 用 来 存储 防火 墙 所 用 的 基本 程序 ,如 包 过 滤 
程序 和 代理 服务 器 程序 等 ,有 的 防火 墙 还 把 日 志 记录 也 记录 在 此 硬盘 上 。 

虽然 如 此 ,但 不 能 说 它 就 与 平常 的 PC 一 样 ,因为 它 的 工作 性 质 ,决定 了 它 要 具备 非常 
高 的 稳定 性 、 实 用 性 ,具备 非常 高 的 系统 吞吐 性 能 。 正 因 如 此 ,看 似 与 PC 差不多 的 配置 , 价 
格 却 昂贵 得 多 。 

2) 路 由 器 集成 式 防火 墙 

原来 单一 主机 的 防火 墙 由 于 价格 昂贵 , 仅 有 少数 大 型 企业 才能 承受 得 起 ,为 了 降低 企业 
网 络 投 资 , 现 在 许多 中 、 高 档 路 由 器 中 集成 了 防火 墙 功 能 ,如 Cisco IOS 防火 墙 系列 。 这 种 
防火 墙 通常 是 较 低级 的 包 过 滤 型 。 这 样 企业 就 不 用 再 同时 购买 路 由 器 和 防火 墙 ,大 大 降低 
了 网 络 设 备 购买 成 本 。 

3) 分 布 式 防火 墙 

随 着 防火 墙 技术 的 发 展 及 应 用 需求 的 提高 ,原来 作为 单一 主机 的 防火 墙 现在 已 发 生 了 许 
多 变化 。 最 明显 的 变化 就 是 现在 许多 中 ,高 档 的 路 由 器 中 已 集成 了 防火 墙 功能 ,还 有 的 防火 墙 已 
不 再 是 一 个 独立 的 硬件 实体 ,而 是 由 多 个 软 、 硬 件 组 成 的 系统 ,这 种 防火 墙 ,俗称 “分 布 式 防火 墙 ”。 

分 布 式 防火 墙 再 也 不 是 只 位 于 网 络 边界 ,而 是 渗透 于 网 络 的 每 一 台 主 机 ,对 整个 内 部 网 
络 的 主机 实施 保护 。 在 网 络 服务 器 中 ,通常 会 安装 一 个 用 于 防火 墙 系统 管理 软件 ,在 服务 器 
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及 各 主机 上 安装 有 集成 网 卡 功 能 的 PCI 防火 墙 卡 ,一 块 防 火 墙 卡 同时 兼 有 网 卡 和 防火 墙 的 
双重 功能 。 这 样 一 个 防火 墙 系统 就 可 以 彻底 保护 内 部 网 络 。 各 主机 把 任何 其 他 主机 发 送 的 
通信 连接 都 视 为 “不 可 信 ? 的 ,都 需要 严格 过 滤 。 而 不 是 传统 边界 防火 墙 那样 , 仅 对 外 部 网 络 
发 出 的 通信 请 求 "不 信任 ”。 


3. 按照 防火 墙 应 用 部 署 分 类 


按 防 火 墙 的 应 用 部 署 位 置 分 类 ,可 以 分 为 网 络 防火 墙 ` 基 于 主机 的 防火 墙 。 

1) 网 络 防火 墙 

网 络 防火 墙 位 于 内 、 外 部 网 络 的 边界 ,所 起 的 作用 的 对 内 、 外 部 网 络 实施 隔离 ,保护 边界 
内 部 网 络 。 这 类 防火 墙 一 般 都 是 硬件 类 型 的 ,价格 较 贵 ,性 能 较 好 。 本 章 后 续 内 容 介绍 的 防 
火 墙 都 属于 此 类 。 

2) 基于 主机 的 防火 墙 

它 安装 于 单 台 主 机 中 ,防护 的 也 只 是 单 台 主机 。 这 类 防火 墙 应 用 于 广大 的 个 人 用 户 , 通 
常 为 软件 防火 墙 ,价格 最 便宜 ,在 功能 上 有 很 大 的 限制 。 

这 种 防火 墙 基 于 特定 的 操作 系统 ,对 所 在 的 主机 通过 安全 保护 。 可 以 使 用 几 十 种 免费 
的 、 共 享 的 或 者 高 级 的 基于 主机 的 防火 墙 来 保护 各 种 操作 系统 软件 (Microsoft Windows、 
Apple Macintosh 以 及 UNIX 系统 )。 

例如 ,基于 Windows 操作 系统 的 防火 墙 ,国外 比较 著名 的 有 AtGuard, BlackICE PC 
Protection ,ZoneAlarm, Tiny Personal Firewall, Norton Personal Firewall 等 品牌 ,国内 应 用 较 广 
泛 的 有 天 网 防火 墙 、 瑞 星 个 人 防火 墙 、 金 山 网 盾 等 。 另 外 ,Windows 操作 系统 也 自 带 有 防火 墙 。 

基于 主机 的 防火 墙 通常 是 一 个 简化 的 包 过 滤 防 火 墙 ,对 网 络 层 和 传输 层 的 信息 进行 过 
滤 , 包 括 协议 (TCP 或 UDP) , 源 地 址 和 目的 地 址 ,TCP 或 UDP 的 端口 号 等 。 


4. 按照 防火 墙 的 实现 技术 分 类 


根据 过 滤 的 方式 和 技术 的 不 同 .防火 墙 可 以 划分 为 以 下 几 类 : 
(1) 包 过 滤 防 火 墙 。 

(2) 状态 防火 墙 。 

(3) 应 用 网 关 防火 墙 。 

后 续 小 节 将 从 技术 原理 上 对 这 几 类 防火 墙 作 详细 闸 述 。 





11.1.3 包 过 滤 防 火 墙 

包 过 滤 防 火 墙 是 一 种 通过 检查 数据 包 中 网 络 层 及 传输 层 协议 信息 来 发 现 异 常 的 安全 防 
御 系统 。 

1. 包 过 滤 防 火 墙 的 原理 


数据 包 过 滤 是 在 网 络 的 适当 位 置 ,根据 系统 设置 的 过 滤 规 则 ,对 数据 包 实施 过 滤 ,只 多 
许 满足 过 滤 规 则 的 数据 包 通 过 并 被 转发 到 目的 地 ,而 其 他 不 满足 规则 的 数据 包 被 丢弃 。 当 
前 大 多 数 的 网 络 路 由 器 都 具备 一 定 的 数据 包 过 滤 能 力 。 
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包 过 滤 防 火 墙 是 最 早出 现 的 、 形 式 最 简单 的 一 种 防火 墙 , 通 常 在 路 由 器 上 通过 访问 控制 
列表 实现 ,通过 检查 数据 包 的 报头 信息 ,根据 数据 包 的 源 地 址 .目的 地 址 和 以 上 其 他 的 信息 
组 合 ,按照 过 滤 规 则 决定 是 否 允 许 数据 包 通 过 。 包 过 滤 防 火 墙 在 根据 规则 对 数据 包 的 相关 
内 容 进 行 匹配 时 ,一 般 不 判断 数据 包 的 上 下 文 , 只 根据 当前 的 数据 包 内 容 决定 。 

相对 于 TCP/IP 网 络 体系 结构 , 包 过 滤 防 火 墙 主要 通过 检查 网 络 层 和 传输 层 的 信息 进 
行 过 滤 。Internet 上 的 服务 一 般 都 和 特定 的 端口 号 有 关 , 如 FTP 一 般 工作 在 21 端口 ， 
Telnet 工作 在 23 端口 , Web 服务 在 80 端口 ,因此 可 通过 包 过 滤 来 禁止 某 项 服务 。 

在 执行 数据 包 过 滤 之 前 ,首先 要 在 防火 墙 上 定义 包 过 滤 规 则 。 这 些 规则 用 来 匹配 数据 
包 内 容 以 决定 哪些 包 被 允许 通过 和 哪些 包 被 拒绝 通过 。 

在 定义 规则 时 ,往往 需要 用 到 数据 包 中 网 络 层 和 传输 层 的 信息 , 包 过 滤 防 火 墙 通常 可 以 
根据 源 IP 地 址 、 目 的 IP 地 址 、 传 输 层 协议 .端口 号 等 来 进行 数据 包 的 过 滤 , 表 11-1 所 示 为 
定义 TCP/IP 包 过 滤 防 火 墙 规则 的 依据 。 


表 11-1 TCP/IP 包 过 滤 依 据 





TCP/IP 层 过 滤 依 据 
网 络 层 源 IP 地 址 、 目 的 IP 地 址 
网 络 层 IP、ICMP、OSPF、TCP、UDP 或 其 他 协议 
网 络 层 卫 优先 级 域 (服务 类 型 7 
传输 层 TCP 和 UDP 端口 号 
传输 层 TCP 控制 标记 (SYN、ACK FIN.PSH RST 等 ) 


在 将 过 滤 规则 定义 之 后 ,还 要 将 规则 应 用 到 防火 墙 或 路 由 器 的 指定 接口 上 ,并 为 规则 的 
应 用 指明 特定 的 方向 (进入 接口 或 离开 接口 )。 可 以 根据 实际 需要 来 限制 进入 内 部 网 络 的 数 
据 包 ,或 者 限制 试图 流出 内 部 网 络 的 数据 包 。 

依据 系统 事先 设 定好 的 过 滤 规 则 ,防火 墙 检查 数据 流 中 每 个 数据 包 。 依 据 报头 信息 的 
组 合 确定 是 否 允 许 该 数据 包 通 过 。 如 果 匹 配 到 一 条 规则 , 则 根据 此 规则 决定 转发 或 丢弃 ,如 
果 所 有 规则 都 不 匹配 , 则 依据 缺 省 策略 。 

图 11-2 所 示 为 一 个 包 过 滤 防 火 墙 的 应 用 实例 。 


WWW 服 务 器 。 “DNS 服务 器 。 ”E-mail 服务 器 
222.20.1.2 222.20.1.3 222.20.1.4 





222.20.1.10 222.20.1.11 
11-2 包 过 滤 防 火 墙 实例 
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为 了 限制 来 自 Internet 主机 对 网 络 内 部 主机 的 访问 ,定义 包 过 滤 规 则 ,如 表 11-2 所 示 。 
表 11-2 包 过 滤 规 则 





规则 源 IP 地 址 目的 IP 地 址 协议 端口 号 操作 
1 任意 222, 20. 1.2 ToF 80 允许 
2 任意 222. 20. 1. 3 UDP 53 允许 
3 任意 222.20.1.4 TCP 25 允许 
4 任意 任意 任意 任意 丢弃 


这 个 包 过 滤 规 则 被 应 用 到 连接 Internet 的 路 由 器 的 WAN 接口 上 ,方向 为 进入 , 即 对 从 
该 接口 进入 的 数据 包 , 防 火 墙 采 用 这 些 定义 的 规则 进行 过 滤 。 

在 本 例 中 ,规则 1 说 明 如 果 来 自任 何 主机 的 数据 包 被 发 往 222. 20. 1. 2 的 TCP80 端口 ， 
防火 墙 都 应 该 允许 通过 。 同 样 ,如 果 任 何 数据 包 被 发 送 到 222. 20. 1. 3 的 UDP53 端口 或 
222. 1020. 1.4 的 TCP25 端口 ,防火墙 都 应 该 放行 。 任 何其 他 类 型 的 数据 包 则 都 应 该 丢弃 。 


2. 包 过 滤 防 火 墙 的 优 缺 点 


一 般 来 说 , 包 过 滤 类 型 的 防火 墙 具 有 以 下 优点 : 

。 人 性 能 优 于 其 他 防火 墙 ,因为 它 执行 的 计算 较 少 ,并 且 容 易 用 硬件 方式 实现 。 

。 规则 设置 简单 ,通过 禁止 内 部 计算 机 和 特定 Internet 资源 连接 ,单一 规则 即 可 保护 

整个 网 络 。 

。 不 需要 对 客户 端 计算 机 进行 专门 配置 。 

而 其 缺点 也 很 明显 : 

。 对 管理 员 的 知识 要 求 高 。 

。 不 能 阻止 应 用 层 的 攻击 。 

。 只 对 某 些 类 型 的 TCP/IP 攻击 比较 敏感 。 

。 不 支持 用 户 的 连接 认证 。 

。 只 有 有 限 的 日 志 功 能 。 

在 配置 基于 包 过 滤 方 式 的 防火 墙 时 ,需要 对 IP、TCP、UDP、ICMP 等 各 种 协议 有 深入 
的 了 解 ,否则 容易 出 现 因 配置 不 当 带 来 问题 。 

包 过 滤 防 火 墙 不 能 阻止 所 有 类 型 的 攻击 。 例 如 ,如 果 数 据 包 到 网 络 中 的 一 台 特 定 的 
Web 服务 器 的 80 端口 , 包 过 滤 防 火 墙 检测 网 络 层 的 目的 地 址 和 传输 层 的 目的 端口 号 ,如 果 
有 匹配 的 规则 , 则 包 过 滤 防 火 墙 允许 这 些 数据 流 ,但 使 用 这 种 方法 的 一 个 问题 是 包 过 滤 防 火 
墙 不 检测 HTTP 连接 的 实际 内 容 , 攻 击 网 络 的 一 种 流行 的 方式 正 是 利用 在 Web 服务 器 上 
发 现 的 漏洞 。 包 过 滤 防 火 墙 不 能 检测 这 类 攻击 ,因为 它们 发 生 在 已 被 允许 的 TCP 连接 
EE 

包 过 滤 防 火 墙 也 不 能 检测 和 阻止 某 种 类 型 的 TCP/IP 攻击 ,如 SYN 洪流 和 IP 欺骗 。 
包 过 滤 防 火 墙 允许 到 内 部 Web 服务 器 的 80 端口 .不 会 关心 这 些 是 什么 类 型 的 数据 流 。 黑 
客 能 利用 这 一 点 ,用 TCP 的 SYN 洪流 攻击 Web 服务 器 的 80 端口 .表面 上 想 要 服务 器 上 的 
资源 ,但 实际 上 是 占用 了 服务 器 的 资源 。 

包 过 滤 防 火 墙 不 能 检测 所 有 类 型 的 IP 欺骗 攻击 ,如果 人 允许 来 自 外 部 某 个 特定 网 络 的 数 
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据 包 , 包 过 滤 防 火 墙 只 能 检测 在 数据 包 中 的 源 IP 地 址 ,然而 源 卫 地 址 是 完全 可 以 骨 充 
的 。 黑 客 能 够 用 允许 的 源 IP 地 址 来 蔡 代 一 个 不 被 防火 墙 允 许 的 地 址 ,然后 从 一 个 允许 的 
源 地 址 利用 允许 的 数据 包 通 过 洪流 攻击 内 部 网 络 ,以便 实现 DoS 攻击 。 应 该 说 ,这 并 不 
是 防火 墙 的 问题 ,而 是 人 协议 的 安全 性 问题 ,IP 协议 并 不 提供 信息 的 认证 服务 。 对 于 这 
种 欺骗 问题 ,通常 可 以 通过 在 允许 一 个 用 户 通 过 防火 墙 之 前 先 使 用 认证 的 方法 处 理 , 这 
个 功能 是 应 用 层 的 功能 。 包 过 滤 防 火 墙 只 能 检测 网 络 层 和 传输 层 的 信息 ,不 能 提供 用 户 
的 认证 机 制 。 

最 后 ,虽然 包 过 滤 防 火 墙 支持 日 志 功 能 ,但 它 的 日 志 只 是 记录 网 络 层 和 传输 层 的 信息 。 
如 果 黑 客 在 80 端口 上 执行 一 个 特定 类 型 的 Web 服务 器 攻击 , 包 过 滤 防 火 墙 将 拒绝 并 记录 
这 个 操作 。 防 火 墙 并 不 能 记录 封装 在 HTTP 传输 报 文中 的 应 用 层 数据 。 所 以 ,管理 员 通 过 
日 志 可 能 知道 有 人 试图 访问 服务 器 的 80 端口 ,但 是 不 知道 这 个 人 的 目的 是 什么 。 


11.14 状态 防火 墙 


状态 防火 墙 采 用 的 是 状态 检测 技术 ,这 是 由 CheckPoint 公司 最 先 提出 的 一 项 具有 突破 
性 的 防火 墙 技术 ,把 包 过 滤 的 快速 性 和 代理 的 安全 性 很 好 地 结合 在 一 起 ,成 为 防火 墙 的 基本 


1. 状态 防火 墙 的 基本 原理 


为 了 理解 状态 防火 墙 的 基本 原理 , 先 通过 实例 来 了 解 一 下 包 过 滤 防 火 墙 的 一 个 问题 。 
在 如 图 11-3 所 示 的 网 络 结构 中 ,假设 需要 阻止 Internet 上 的 任意 主机 发 往 内 部 网 络 中 
主机 222. 20. 1. 11 的 数据 包 。 于 是 在 连接 Internet 的 防火 墙 端口 的 输入 方向 建立 过 滤 规 则 ,如 


表 11-3 所 示 。 
E-mail 服 务 器 
222.20.1.4 


222.20.1.10 222.20.1.11 10.20.1.1 
图 11-3 包 过 滤 防 火 墙 的 问题 分 析 实 例 






表 11-3 根据 目的 地 址 建立 规则 
源 地 址 目的 地 址 操作 
任意 222. 20. 1. 11 拒绝 
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这 一 规则 阻止 了 Internet 上 任意 主机 发 起 的 对 内 部 主机 222. 20. 1. 11 的 访问 。 

但 反 过 来 ,如 果 内 部 主机 222. 20. 1. 11 要 访问 Internet 上 的 某 台 主机 ,例如 一 个 Web 服务 
器 10. 20. 1. 1。222. 20. 1. 11 要 发 送 一 个 HTTP 请 求 ,HTTP 使 用 TCP 协议 ,需要 通过 TCP 
的 三 次 握手 建立 一 个 连接 :; SYN、.SYN/ACK、ACK。 所 以 ,222. 20. 1. 11 首先 发 送 一 个 TCP 连 
接 请 求 SYN, 源 端口 号 是 一 个 大 于 1023 的 整数 ,目的 端口 号 为 80。 这 个 数据 包 会 顺利 通过 防 
火 墙 ,因为 在 防火 墙 端口 的 “出 ”方向 上 并 没有 定义 和 应 用 过 滤 规 则 。10. 20. 1. 1 在 收 到 这 个 连 
接 请 求 后 ,会 发 回 一 个 连接 的 响应 SYN/ACK 消息 (三 次 握手 的 第 二 次 )。 但 这 个 数据 包 在 到 
达 防 火 墙 时 ,由 于 其 目的 地 址 是 222. 20. 1. 11 而 被 防火 墙 过 滤 掉 了 。 因 此 ,两 者 之 间 的 连接 
将 无 法 建立 。 事 实 上 ,这 一 规则 切断 了 内 部 主机 222. 20. 1. 11 对 Internet 的 访问 。 

为 了 解决 这 个 问题 ,可 以 尝试 下 面 两 种 方法 : 

1) 开放 端口 

由 于 客户 端 在 发 出 请 求 时 ,本 地 端口 是 临时 分 配 的 ,也 就 是 说 这 个 端口 是 不 定 的 ,只 要 
是 1023 以 上 的 端口 都 有 可 能 ,所 以 如 果 要 开放 端口 ,只 有 把 这 些 所 有 端口 都 开放 ,于 是 在 目 
的 端口 实际 上 是 1024 一 65535 ,将 修改 上 面 的 过 滤 规 则 ,如 表 11-4 所 示 。 


表 11-4 根据 目的 地 址 和 端口 建立 规则 
目的 地 址 目的 端口 
222..20.1.11 大 于 1023 


























222. 20. 1.11 其 他 


显然 ,这 是 非常 危险 的 。 因 为 人 站 的 高 端口 全 开放 了 ,而 很 多 危险 的 服务 也 是 使 用 的 高 
端口 ,比如 微软 的 终端 服务 /远程 桌面 监听 的 端口 是 3389 ,远程 过 程 调用 协议 RPC 服务 也 
是 动态 分 配 的 高 端口 。 所 以 ,这 将 在 防火 墙 中 产生 非常 严重 的 漏洞 。 

2) 检查 TCP 控制 位 

包 过 滤 防 火 墙 能 够 识别 传输 层 协议 首部 中 的 信息 ,例如 TCP 协议 首部 中 的 SYN、 
ACK FIN、RST 等 。 因 此 ,可 修改 过 滤 规 则 ,如 表 11-5 所 示 。 

表 11-5 根据 目的 地 址 和 协议 信息 建立 规则 


目的 地 址 协议 信息 


TCP 控制 字段 : 
ACK,RST,SYN/VACK ,FIN 


222, 20. 1. 11 其 他 





222. 20. 1. 11 

















这 种 方法 同样 也 存在 问题 。 首 先 , 不 是 所 有 的 传输 层 协议 都 支持 控制 字段 ; 另外 ,控制 字段 
的 值 也 能 被 手工 操控 ,根据 TCP 连接 中 的 ACK 位 值 来 决定 数据 包 进出 ,容易 导致 DoS 攻击 。 

所 以 ,上 述 两 种 方法 都 有 各 自 的 缺陷 ,状态 检测 则 可 以 很 好 地 解决 这 个 问题 。 

状态 检测 的 根本 思想 是 对 所 有 网 络 数据 流 建立 “连接 ”的 概念 ,此 “连接 ”是 面向 “连接 ” 
的 协议 之 “连接 ?的 扩展 ,对 非 连 接 协议 数据 也 可 以 建立 虚拟 连接 。 因 为 网 络 中 的 通信 大 多 
都 是 采用 C/S 模式 ,所 以 通信 两 端的 连接 状态 是 有 一 定 顺序 变化 的 ,通常 是 客户 端 先 发 出 
连接 请 求 , 服 务 器 端 再 响应 这 个 请 求 。 防 火 墙 的 状态 检测 就 是 事先 确定 好 连接 的 合法 过 程 
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模式 ,如 果 数 据 过 程 符合 这 个 模式 , 则 说 明 数 据 是 合法 正确 的 ,否则 就 是 非法 数据 ,应 该 被 
丢弃 。 

以 TCP 协议 为 例 ,TCP 协议 是 一 个 标准 的 面向 连接 协议 ,在 真正 的 通信 前 ,必须 按 一 
定 协议 (三 次 握手 ) 先 建立 连接 ,连接 建立 后 才能 通信 ,通信 结束 后 释放 连接 。 发 起 方 先 发 送 
带 有 SYN 标志 的 数据 包 到 目的 方 ,目的 方 如 果 端 口 是 打开 允许 连接 的 ,就 会 回应 一 个 带 
SYN 和 ACK 标志 的 数据 包 到 发 起 方 ,发 起 方 收 到 后 再 发 送 一 个 只 带 ACK 标志 的 数据 包 
到 目地 方 ,目的 方 收 到 后 就 可 认为 连接 已 经 正确 建立 ; 在 正常 断 开 时 ,一 方 会 发 送 带 FIN 标 
志 的 数据 包 到 对 方 , 表 示 本 方 已 经 不 会 再 发 送 数据 了 ,但 还 可 以 接收 数据 ,对 方 接收 后 还 可 
以 发 数据 ,发 完 后 也 会 发 带 FIN 标志 的 数据 包 , 双 方 进 入 断 开 状态 ,经 过 一 段 时 间 后 连接 彻 
底 删 除 。 在 异常 情况 会 发 送 RST 标志 的 包 执行 异常 断 开 ,不 论 是 在 连接 开始 还 是 通信 和 汤 
开 过 程 。 

由 此 可 见 ,TCP 的 连接 过 程 是 一 个 有 序 过 程 ,新 连接 一 定 是 通过 SYN 包 来 开始 的 , 防 
火 墙 可 以 将 连接 的 信息 记录 到 连接 状态 表 中 。 如 果 防 火 墙 收 到 了 一 个 非 SYN 的 包 , 状 态 
表 里 没有 相关 连接 信息 ,就 那 该 包 一 定 是 状态 非法 的 ,可 以 将 其 丢弃 ; 另外 ,数据 通信 过 程 
是 有 方向 性 的 ,一 定 是 发 起 方 发 送 SYN ,接收 方 发 SYN/ACK ,不 是 此 方向 的 数据 就 是 非法 
的 。 因 此 状态 检测 可 以 实现 A 可 以 访问 B 而 B 却 不 能 访问 A 的 效果 。 

现在 将 图 11-3 中 的 “ 包 过 滤 防 火 墙 ”替换 为 “状态 防火 墙 ", 再 来 分 析 状 态 防 火 墙 的 工作 
过 程 。 当 222. 20. 1. 11 发 送 一 个 TCP 连接 请 求 SYN, 源 端口 号 是 一 个 大 于 1023 的 整数 
(例如 端口 号 为 10000) ,目的 端口 号 为 80。 这 个 数据 包 在 到 达 状 态 防 火 墙 后 ,防火 墙 会 将 这 
个 连接 信息 记录 到 一 个 连接 状态 表 中 ,然后 再 将 这 个 数据 包 转 发 出 去 。 当 防火 墙 收 到 来 自 
10. 20.1. 1 的 连接 响应 包 时 ,首先 查找 连接 状态 表 , 就 会 知道 从 10. 20. 1. 1 的 TCP80 端口 
到 222. 20. 1.11 的 TCP10000 端口 的 响应 是 已 存在 的 连接 的 一 部 分 ,就 会 允许 数据 包 通 过 ， 
从 而 双方 在 第 三 次 握手 之 后 建立 连接 。 然 后 两 者 之 间 的 通信 由 于 是 属于 这 个 连接 的 ,防火 
墙 都 会 放行 。 最 后 ,在 双方 释放 这 个 连接 时 ,防火 墙 也 会 注意 到 这 个 过 程 ,并 动态 地 将 该 连 
接 从 状态 表 中 删除 。 因 此 ,在 这 种 配置 下 ,如 果 是 内 部 主机 发 起 的 通信 ,从 外 网 流入 的 流量 
不 会 被 防火 墙 过 滤 , 但 如 果 是 外 网 发 起 的 通信 ,在 建立 连接 的 第 一 次 握手 时 就 会 被 防火 墙 
阻 断 。 

所 以 , 当 比 较 包 过 滤 防 火 墙 和 状态 防火 墙 时 ,状态 防火 墙 更 智能 ,因为 它 能 理解 连接 的 
状态 : 初始 化 连接 、 传 输 数据 或 释放 连接 。 通 常 , 一 个 状态 防火 墙 包 含 了 包 过 滤 防 火 墙 的 
功能 。 


2. 状态 防火 墙 的 优 缺 点 


状态 防火 墙 的 优 度 是 相对 于 包 过 滤 防 火 墙 而 言 的 : 
。 状态 防火 墙 知 晓 连 接 的 状态 。 
。 状态 防火 墙 无 须 打开 很 大 范围 的 端口 以 允许 通信 。 
。 状态 防火 墙 能 比 包 过 滤 防 火 墙 阻止 更 多 类 型 的 DoS 攻击 ,并 具有 更 丰富 的 日 志 
功能 。 
状态 防火 墙 的 局 限 性 在 于 : 和 包 过 滤 防 火 墙 一 样 ,配置 防火 墙 需要 管理 员 对 网 络 层 和 
传输 层 的 信息 非常 熟悉 ,配置 起 来 会 比较 复杂 ; 另外 ,由 于 状态 防火 墙 依然 检验 的 是 网 络 层 
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和 传输 层 的 信息 而 不 涉及 应 用 层 , 所 以 它 仍然 不 能 阻止 应 用 层 攻 击 ,也 不 能 执行 任何 类 型 的 
用 户 认证 ; 另 一 个 主要 的 问题 是 ,不 是 所 有 的 协议 都 像 TCP 协议 那样 包含 状态 信息 ,例如 ， 
UDP 和 ICMP 就 不 是 有 状态 的 ,防火 墙 难以 抽象 出 一 个 合适 的 “连接 状态 ”表示 这 些 协议 发 
起 的 通信 。 


11.1.5 应 用 网 关 防 火 墙 


应 用 网 关 防 火 墙 , 也 称 为 代理 防火 墙 ,能 够 根据 网 络 层 .传输 层 和 应 用 层 的 信息 对 数据 流 
进行 过 滤 。 由 于 应 用 网 关 防 火 墙 要 在 应 用 层 处 理 信 息 , 所 以 绝 大 多 数 应 用 网 关 防 火 墙 的 控制 
和 过 滤 功 能 是 通过 软件 完成 的 ,这 能 够 比 包 过 滤 或 状态 防火 墙 提 供 更 细 粒 度 的 流量 控制 。 


1. 应 用 网 关 防火 墙 的 认证 功能 


应 用 网 关 防 火 墙 的 一 个 功能 是 首先 对 连接 请 求 进行 认证 ,然后 允许 数据 流 到 达 内 外 网 
络 ,这 使 得 防火 墙 可 以 认证 用 户 而 不 是 计算 机 。 这 是 包 过 滤 防 火 墙 和 状态 防火 墙 所 没有 的 
功能 。 包 过 滤 防火 墙 和 状态 防火 墙 通常 只 检查 网 络 层 和 传输 层 的 信息 ,只 能 认证 设备 的 网 
络 层 地 址 ,而 网 络 层 地 址 是 容易 被 伪造 的 。 

图 11-4 所 示 为 一 个 应 用 网 关 防 火 墙 对 用 户 进行 认证 的 过 程 。 
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图 11-4 应 用 网 关 防火 墙 的 认证 过 程 


外 部 用 户 Bob 要 想 访问 内 网 中 的 E-mail 服务 器 ,必须 首先 到 应 用 网 关 防 火 墙 进行 身份 
认证 ,可 以 通过 用 户 打 开 一 个 特定 的 连接 实现 。 例 如 ,用 户主 动 发 送 一 个 连接 到 应 用 网 关 防 
火 墙 的 Web 浏览 器 ,或 应 用 网 关 防火 墙 截获 用 户 到 内 部 服务 器 的 初始 化 连接 请 求 后 ,发送 
给 用 户 一 个 认证 信息 的 请 求 ( 如 Web 浏览 器 的 弹出 窗口 )。 然 后 应 用 网 关 防 火 墙 对 用 户 的 
身份 信息 进行 认证 。 在 本 例 中 使 用 的 身份 认证 信息 是 用 户 名 和 密码 ,根据 存储 在 应 用 网 关 
防火 墙 中 的 认证 数据 库 可 以 查 出 : 用 户 Bob 在 成 功 认 证 后 可 以 访问 E-mail 服务 器 ,但 不 允 
许 访问 其 他 设备 。 所 以 ,如 果 Bob 发 起 一 个 访问 Web 服务 器 200. 20. 1. 5 的 连接 请 求 ,防火 
墙 会 丢弃 这 个 请 求 。 

为 了 使 认证 和 连接 过 程 更 加 高 效 ,应 用 网 关 防 火 墙 可 以 为 一 个 用 户 配置 多 个 授权 规则 ， 
通常 对 用 户 只 认证 一 次 , 当 用 户 成 功 通过 认证 后 ,该 用 户 所 有 的 授权 规则 都 生效 ,不 必 为 该 
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用 户 的 每 个 连接 请 求 都 要 求 进 行 认证 。 

从 应 用 网 关 防 火 墙 对 用 户 进行 认证 的 方式 来 看 ,包括 用 户 名 和 密码 、 令 牌 卡 信息 、 生 物 
信息 (指纹 、 视 网 纹 等 ) 。 认 证 信息 存储 在 防火 墙 本 地 或 者 一 台 安 全 服务 器 上 。 

如 果 使 用 用 户 名 和 密码 的 方式 来 认证 ,认证 信息 必须 采用 密 文 形式 传输 。 通 常 通过 在 
Web 浏览 器 连接 中 使 用 安全 套 接 层 (SSL) 协 议 实 现 , 即 用 户 必须 打开 一 个 到 应 用 网 关 防火 
墙 的 HTTP 的 SSLCHTTPS) 连 接 执行 认证 。 

生物 信息 比 用 户 名 和 密码 更 可 靠 , 因 为 生物 信息 具有 唯一 性 的 特征 。 但 这 些 信息 在 发 
送 到 应 用 网 关 防 火 墙 的 过 程 中 也 容易 被 窃听 ,因此 也 应 该 采用 安全 的 连接 传送 。 

令 牌 卡 信息 是 更 安全 的 认证 方式 。 令 牌 卡 可 以 创建 一 个 一 次 性 的 密码 , 且 一 个 密码 只 
能 使 用 一 次 。 一 个 密码 在 被 用 过 之 后 就 不 再 有 效 ( 或 在 一 定时 间 之 后 自动 失效 ) 。 因 此 这 个 
认证 信息 不 受 窃 听 的 影响 ,如果 黑客 窃听 了 令 牌 卡 的 信息 ,也 无 法 再 次 利用 这 些 信息 。 例 如 
目前 中 国 银行 的 网 上 银行 业务 就 是 采用 了 令 牌 卡 技术 ,其 令 牌 卡 自动 产生 一 次 性 密码 , 且 每 
60 秒 自动 变更 密码 ,供用 户 登录 网 上 银行 时 进行 身份 认证 。 


2. 应 用 网 关 防火 墙 的 分 类 


从 实际 的 应 用 情况 来 看 ,应 用 网 关 防 火 墙 有 两 种 类 型 , 即 连接 网 关 防 火 墙 (connection 
gateway firewall) 和 直通 代理 防火 墙 (cut-through proxy) 。 

1) 连接 网 关 防 火 墙 

连接 网 关 防 火 墙 在 运行 过 程 中 始终 检测 应 用 层 的 信息 ,能 够 提供 更 多 的 保护 。 图 11-5 
所 示 为 连接 网 关 防 火 墙 的 工作 过 程 。 
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11-5 连接 网 关 防 火 墙 的 工作 过 程 


当 外 部 用 户 Bob 试图 建立 一 个 到 内 部 Web 服务 器 的 连接 时 ,连接 网 关 防火 墙 会 截获 这 
个 连接 ,并 要 求 对 用 户 进行 认证 (过 程 O)。 通 过 认证 后 ,防火 墙 会 打开 一 个 到 内 部 Web 服 
务 器 的 单独 连接 (过 程 @@)。 然 后 ,来 自 Bob 的 Web 数据 流 首先 由 连接 网 关 防 火 墙根 据 用 户 
Bob 的 授权 规则 进行 检查 ,如 果 其 中 的 内 容 得 到 授权 ,就 重 定向 到 内 部 Web 服务 器 ,否则 就 
丢弃 这 些 流量 。 

可 以 看 出 ,连接 网 关 防 火 墙 能 检查 所 有 Bob 发 送 到 Web 服务 器 的 数据 ,甚至 是 一 个 具 
体 的 URL 请 求 ,这 意味 着 防火 墙 可 以 检查 用 户 试图 访问 哪些 页 面 ,以 及 是 否 正在 非法 插入 
不 良 的 URL 和 数据 ,或 利用 一 个 安全 弱点 访问 该 服务 器 。 这 对 于 包 过 滤 防 火 墙 和 状态 防 
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火 墙 是 做 不 到 的 ,因为 它们 仅仅 工作 在 网 络 层 和 传输 层 。 

2) 直通 代理 防火 墙 

直通 代理 防火 墙 是 对 连接 网 关 防 火 墙 的 一 个 改进 。 由 于 连接 网 关 防火 墙 始终 在 应 用 层 
处 理 信息 ,这 是 一 个 处 理 密集 的 过 程 , 要 求 防火 墙 有 较 好 的 运算 性 能 ,尤其 对 于 一 个 要 处 理 
上 千 个 连接 的 连接 网 关 防火 墙 来 说 ,一 定 的 处 理 时 延 是 避免 不 了 的 。 

因此 ,直通 代理 防火 墙 在 安全 和 性 能 上 做 了 相应 的 折 中 。 图 11-6 所 示 为 直通 代理 防火 
墙 的 工作 过 程 。 





用 户 ” 目 的 地 址 ”操作 
Bob ”222.20.1.5 允许 


时 


222.20.1.10 ”Web 服务 器 外 部 用 户 Bob 
222.20.1.5 10.1.135.5 


11-6 直通 代理 防火 墙 的 工作 过 程 
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当 外 部 用 户 Bob 试图 建立 一 个 到 内 部 Web 服务 器 的 连接 时 ,和 连接 网 关 防 火 墙 一 样 ， 
直通 代理 会 对 用 户 进 行 认证 (过 程 中 ) 。 认 证 通过 后 ,这 个 连接 和 任何 其 他 授权 连接 (网 络 层 
和 传输 层 的 信息 ) 被 添加 到 过 滤 规 则 表 中 (过 程 @@)。 然 后 ,所 有 来 自 Bob 到 Web 服务 器 的 
流量 被 过 滤 规 则 在 网 络 层 和 传输 层 上 进行 处 理 , 这 可 以 极 大 地 提高 过 滤 速 度 ( 相 对 于 连接 网 
关 防 火 墙 ) 。 

因此 ,和 连接 网 关 防 火 墙 相 比 ,直通 代理 防火 墙 的 吞吐 量 要 大 很 多 。 由 于 直通 代理 防火 
墙 不 检查 应 用 层 数据 (仅仅 在 应 用 层 对 用 户 进 行 认证 ) ,不 能 检测 应 用 层 攻 击 。 


3. 应 用 网 关 防火 墙 的 优 缺 点 


应 用 网 关 防 火 墙 的 优点 主要 在 于 它 能 够 实现 对 用 户 的 认证 ,能 够 阻止 绝 大 多 数 欺骗 攻 
击 。 使 用 连接 代理 防火 墙 能 够 监控 连接 上 的 所 有 数据 ,检测 到 应 用 层 攻 击 ,如 不 良 的 URL、 
缓存 溢出 企图 ,未 授权 的 访问 和 更 多 类 型 的 攻击 ,同时 生成 非常 详细 的 日 志 。 

应 用 网 关 防 火 墙 的 局 限 性 在 于 它 密集 性 的 处 理 过 程 要 求 大 量 的 CPU 资源 和 内 存 。 另 
外 ,详尽 的 日 志 能 够 也 会 占用 大 量 磁盘 空间 。 应 用 网 关 防 火 墙 通常 不 支持 所 有 的 应 用 ,基本 
上 被 限制 在 一 种 或 少数 几 种 连接 类 型 上 。 最 后 ,应 用 网 关 防 火 墙 有 时 要 求 在 客户 端 安装 厂 
商 指 定 的 软件 ,用 来 处 理 认 证 过 程 和 可 能 的 连接 重 定向 。 


11.16 混合 防火 墙 与 防火 墙 系统 


随 着 Internet 的 广泛 使 用 和 电子 商务 的 蓬勃 发 展 ,对 网 络 安全 的 需求 也 急剧 增加 。 一 
个 功能 单一 的 防火 墙 产品 往往 无 法 满足 越 来 越 复杂 的 安全 形势 。 为 了 提供 健壮 的 安全 特 
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性 ,可 以 通过 两 个 途径 对 已 有 的 防火 墙 进行 改进 。 其 一 ,将 前 述 多 种 类 型 的 防火 墙 的 功能 整 
合 在 一 个 单一 的 防火 墙 产品 中 ,这 就 是 混合 防火 墙 ; 其 二 ,将 多 种 安全 技术 应 用 到 各 个 防火 
墙 组 件 中 ,构成 防火 墙 系统 。 


1. 混合 防火 墙 


混合 防火 墙 是 一 种 将 多 种 安全 技术 集成 在 一 起 的 单一 设备 ,为 网 络 提供 更 加 综合 性 的 
保护 。 例 如 ,Cisco PIX 防火 墙 , 它 支持 一 个 状态 防火 墙 ,一 个 直通 代理 和 最 小 形式 的 连接 网 
关 防 火 墙 ,也 具有 网 络 地 址 转换 和 很 多 其 他 安全 特性 。 

混合 防火 墙 的 功能 是 多 样 化 的 。 除 了 数据 过 滤 功 能 之 外 ,还 包括 其 他 一 些 辅助 功能 。 
绝 大 多 数 防火 墙 都 支持 动态 主机 配置 协议 (DHCP) ,使 得 防火 墙 能 够 为 网 内 的 客户 端 动态 
地 分 配 地 址 信息 。 很 多 防火 墙 还 支持 VPN ,通过 数据 加 密 防 止 数据 被 窃听 。 有 些 防火 墙 还 
支持 入 侵 检测 功能 ,能 够 检测 到 一 些 常见 的 网 络 威胁 和 攻击 。 


2. 防火 墙 系统 


一 个 防火 墙 系统 是 由 多 种 安全 技术 、 多 台 安 全 设备 构成 的 ,并 且 通 过 合理 部 署 的 安全 防 
御 系 统 。 

一 个 好 的 防火 墙 系统 往往 包含 了 边界 路 由 器 .防火墙 VPN、 入 侵 检测 等 组 件 。 

(1) 边界 路 由 器 。 边 界 路 由 器 的 目的 是 提供 到 公 网 的 一 个 连接 ,其 功能 主要 包括 通过 
静态 路 由 和 动态 路 由 选择 协议 生成 路 由 表 ; 通过 包 过 滤 或 状态 过 滤 进 行 数据 包 过 滤 ; 端 接 
VPN 连接 ; 提供 网 络 地 址 转换 。 

(2) 防火 墙 组 件 。 防 火 墙 组 件 的 目的 是 将 网 络 分 成 不 同 的 安全 级 别 , 并 控制 这 些 级 别 
之 间 的 流量 。 通 常 ,可 以 实现 对 外 网 用 户 和 内 部 用 户 的 安全 认证 。 其 功能 主要 包括 状态 过 
滤 ; 使 用 直通 代理 进行 用 户 的 连接 认证 ; 使 用 连接 网 关 进 行 连接 过 滤 ; 网 络 地 址 转换 。 

(3) VPN 组 件 。VPN 组 件 的 主要 目的 是 在 两 个 网 络 之 间 ( 或 远程 用 户 和 本 地 网 络 之 
间 ) 提 供 受 保护 的 连接 ,通过 IPSec 安全 协议 实现 数据 加 密 、 认 证 、 完 整 性 检验 等 功能 。 它 以 
一 种 安全 的 方式 通过 不 安全 的 公共 网 络 传输 机 密 数 据 ,不 必 花 费 过 多 的 财力 去 向 电信 公司 
申请 专线 。 其 主要 功能 包括 对 远程 接 人 用 户 和 本 地 网 络 的 通信 进行 加 密 ; 指定 地 址 信息 到 
远程 接 入 客户 端 ; 使 用 简单 的 包 过 滤 来 限制 流量 。 

(4) 入 侵 检 测 组 件 。 入 侵 检 测 组 件 分 为 基于 网 络 的 入 侵 检 测 组 件 和 基于 主机 的 入 侵 检 
测 组 件 。 基 于 网 络 的 入 侵 检测 组 件 是 一 个 协议 分 析 器 ,被 安插 在 网 络 的 关键 点 并 监控 流量 
用 来 检查 针对 很 多 不 同 设备 的 攻击 。 当 检测 到 一 个 攻击 时 , 它 往往 能 够 访问 防火 墙 组 件 并 
配置 一 个 临时 的 过 滤 规 则 对 恶意 行为 进行 响应 。 基 于 主机 的 人 侵 检测 组 件 是 运行 在 一 台 主 
机 上 的 软件 ,为 那些 没有 被 完全 保护 的 关键 服务 器 提供 额外 的 保护 手段 ,其 缺点 是 必须 占用 
一 定 的 处 理 资 源 ,检查 发 送 到 主机 的 数据 包 信 息 。 

一 个 实用 的 防火 墙 系统 由 哪些 组 件 和 设备 构成 以 及 如 何在 网 络 中 部 署 ,这 要 结合 实际 
的 网 络 结构 和 安全 需求 确定 。 

图 11-7 所 示 为 一 个 简单 的 防火 墙 系统 。 
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11-7 一 个 简单 的 防火 墙 系统 


在 上 图 中 ,整个 网 络 被 边界 路 由 器 和 内 部 路 由 器 划分 为 三 个 部 分 : 外 部 网 络 (Internet)、 
DMZ 和 内 部 网 络 。DMZ 也 称 为 非 军 事 区 (demilitarized zone) , 指 供 外 部 网 访问 的 专门 区 
域 ,用 于 发 布 信息 、 提 供 服 务 ,通常 情况 下 ,外 部 网 和 内 部 网 都 可 以 访问 这 一 区 域 。 

当 来 自 Internet 的 流量 进入 网 络 时 ,一 台 带 有 基本 包 过 滤 功 能 的 边界 路 由 器 粗略 地 铀 
选 这 些 流 量 , 然 后 由 一 台 单独 的 入 侵 检 测 设备 检测 边界 包 过 滤 防 火 墙 没有 过 滤 的 攻击 。 这 
些 流量 同时 被 状态 防火 墙 处 理 , 状 态 防火 墙 设置 三 个 安全 级 别 : Internet 为 最 低 安 全 级 别 ， 
DMZ 为 中 等 ,内 部 网 络 为 高 。 一 个 安全 规则 被 添加 在 状态 防火 墙 上 以 允许 来 自 Internet 的 
流量 只 能 到 达 Web 服务 器 。 所 有 其 他 从 低 安全 级 别 到 更 高 安全 级 别 的 流量 都 被 禁止 。 但 
从 高 到 低 的 流量 是 允许 的 ,如 允许 位 于 内 部 网 络 的 Web 服务 器 管理 员 登 录 到 DMZ 的 Web 
服务 器 上 来 更 新 页 面 。 内 部 路 由 器 为 内 部 网 段 提 供 路 由 选择 ,如 果 需 要 设置 安全 级 别 并 限 
制 到 这 个 网 络 中 各 个 区 域 的 访问 ,可 以 在 这 个 路 由 器 上 使 用 基本 的 包 过 滤 服 务 。 





1117 防火 墙 的 体系 结构 


在 防火 墙 体系 结构 中 ,堡垒 主机 (bastion host) 是 一 个 重要 的 角色 。 堡 又 主机 是 物理 内 
部 网 中 唯一 可 供 外 界 访问 到 的 主机 , 它 通 常 配置 了 严格 的 安全 防范 措施 ,堡垒 主机 为 内 部 网 
和 外 部 网 之 间 的 通信 提供 一 个 阻塞 点 ,如 果 没 有 堡垒 主机 ,网 络 之 间 将 不 能 互相 访问 。 

对 于 防火 墙 而 言 , 它 应 实现 保护 内 部 网 及 DMZ 的 使 命 ,具体 来 讲 : 

(1) 要 允许 内 部 网 能 按照 规则 限制 访问 Internet 及 DMZ。 

(2) 向 外 界 提供 DMZ 的 公开 服务 ,如 Web 访问 、Ftp 等 。 

(3) 必须 阻止 外 界 访问 内 部 网 及 防火 墙 自 身 。 

(4) 出 于 安全 考虑 ,不 应 允许 DMZ 访问 内 部 网 。 

目前 ,防火 墙 的 体系 结构 一 般 有 双重 宿主 主机 体系 结构 屏蔽 主机 体系 结构 和 屏蔽 子 网 
体系 结构 。 


1. 双重 宿主 主机 体系 结构 


双重 宿主 主机 体系 结构 是 围绕 具有 双重 宿主 的 主机 构筑 的 ,该 主机 至 少 有 两 个 网 络 接 
口 。 这 样 的 主机 充当 与 这 些 接口 相连 的 网 络 之 间 的 路 由 器 ,能 够 从 一 个 网 络 向 另 一 个 网 络 
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发 送 IP 数据 包 。IP 数据 包 从 一 个 网 络 ( 如 Internet) 并 不 是 直接 发 送 到 其 他 网 络 ( 如 内 部 
的 、 被 保护 的 网 络 ), 即 内 部 网 络 和 内 部 网 络 不 能 直接 通信 ,而 是 由 双重 宿主 主机 在 中 间 实 现 
交接 过 滤 。 

双重 宿主 主机 的 防火 墙 体系 结构 是 简单 的 : 双重 宿主 主机 位 于 内 部 网 络 和 外 部 网 络 之 
间 , 并 且 与 两 者 相连 ,如 图 11-8 所 示 。 






双重 宿主 主机 
通过 主机 通信 通过 主机 通信 
应 用 代理 服务 





外 部 网 络 


图 11-8 双重 宿主 主机 体系 结构 


2. 屏蔽 主机 体系 结构 


屏蔽 主机 体系 结构 防火 墙 使 用 一 个 路 由 器 把 内 部 网 络 和 外 部 网 络 隔离 开 , 堡 人 又 主机 是 
Internet 上 的 主机 能 连接 到 的 唯一 的 内 部 网 络 上 的 系统 ,如 图 11-9 所 示 。 任 何 外 部 的 系统 
要 访问 内 部 的 系统 或 服务 都 必须 先 连 接 到 这 台 主 机 。 同 样 内 部 网 也 只 有 堡垒 主机 可 以 连接 
Internet, 堡 又 主机 实际 也 就 是 代理 服务 器 。 


SF 
内 部 网 络 二 


包 过 滤 路 由 器 


需 通 过 堡垒 主机 才能 和 内 部 网 络 相 连 








堡垒 主机 
图 11-9 屏蔽 主机 体系 结构 





这 种 体系 结构 安全 性 较 高 ,提供 了 双重 保护 ,实现 了 网 络 层 安全 ( 包 过 滤 ) 和 应 用 层 安全 
(可 防止 某 些 木 马 外 连 ) ,但 在 这 种 方式 下 ,路 由 器 是 否 配 置 正确 是 这 种 防火 墙 安全 与 否 的 关 
键 , 如 果 路 由 表 被 破坏 , 堡 公主 机 可 能 被 绕 过 ,使 内 部 网 络 完全 暴露 。 


3. 屏蔽 子 网 体系 结构 


屏蔽 子 网 体系 结构 的 最 简单 的 形式 为 ,两 个 屏蔽 路 由 器 ,每 一 个 都 连接 到 一 个 处 于 内 网 
和 外 网 之 间 的 所 谓 周边 网 ,也 就 是 非 军 事 区 DMZ。 一 个 位 于 周边 网 与 内 部 网 络 之 间 , 另 一 
个 位 于 周边 网 与 外 部 网 络 (通常 为 Internet) 之 间 。 这 样 就 在 内 部 网 络 与 外 部 网 络 之 间 形 成 
了 一 个 "隔离 带 ”。 堡 又 主机 安装 在 这 个 “隔离 带 ”" 中 ,如 图 11-10 所 示 。 为 了 侵入 用 这 种 体 
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系 结构 构筑 的 内 部 网 络 ,侵袭 者 必须 通过 两 个 路 由 器 。 即 使 侵袭 者 侵入 堡 爸 主 机 ,仍然 必须 
通过 内 部 路 由 器 访问 内 部 网 络 。 






外 部 包 过 滤 路 由 器 





11-10 屏蔽 子 网 体系 结构 


在 这 种 体系 结构 中 ,堡垒 主机 是 接受 来 自 外 界 连接 的 主要 入 口 。 内 部 路 由 器 对 内 部 网 
络 与 堡垒 主机 之 间 的 通信 进行 过 滤 ,外 部 路 由 器 对 外 部 网 络 到 周边 网 的 访问 进行 过 滤 。 

以 上 介绍 了 三 种 基本 的 防火 墙 体系 结构 ,但 在 建造 防火 墙 时 ,一 般 很 少 采 用 单一 的 结 
构 ,通常 是 多 种 解决 不 同 问题 的 技术 组 合 。 这 种 组 合 主要 取决 于 安全 中 心 向 用 户 提供 什么 
样 的 服务 ,以 及 安全 中 心 能 接受 什么 等 级 风险 。 采 用 怎样 的 组 合 主要 取决 于 经 费 、 投 资 的 大 
小 或 技术 人 员 的 技术 .时间 等 因素 。 通 常 有 使 用 多 堡垒 主机 ,合并 内 部 路 由 器 与 外 部 路 由 
器 ,合并 堡垒 主机 与 外 部 路 由 器 ,合并 堡垒 主机 与 内 部 路 由 器 ,使 用 多 台 内 部 路 由 器 或 外 部 
路 由 器 ,使 用 多 个 周边 网 络 ,使 用 双重 宿主 主机 与 屏蔽 子 网 等 多 种 组 合 形式 。 


11.2 入 侵 检 测 系 统 


各 种 内 部 网 络 一 般 采 用 防火 墙 作为 安全 的 第 一 道 防线 。 然 而 随 着 攻击 者 知识 的 日 趋 成 
熟 ,攻击 工具 与 手法 的 日 趋 复杂 多 样 ,单纯 的 防火 墙 策略 已 经 无 法 满足 对 安全 高 度 敏感 的 部 
门 的 需要 ,网 络 的 防卫 必须 采用 一 种 纵深 的 、 多 样 的 手段 。 

与 此 同时 ,当今 的 网 络 环境 也 变 得 越 来 越 复杂 ,各 式 各 样 的 复杂 的 设备 ,需要 不 断 升 级 、 
补漏 的 系统 使 得 网 络 管理 员 的 工作 不 断 加 重 , 不 经 意 的 疏忽 便 有 可 能 造成 安全 的 重大 隐患 。 

在 这 种 环境 下 ,入 侵 检 测 系 统 (intrusion detection system，IDS) 应 运 而 生 , 可 以 弥补 防 
火 墙 两 个 致命 的 缺点 : 无 法 检测 内 部 网 络 存 在 的 入 侵 行为 ; 无 法 检测 出 不 通过 防火 墙 违反 
安全 策略 的 行为 。 


1121 入 侵 检 测 系 统 概述 


相对 于 防火 墙 而 言 , 入 侵 检 测 系 统 是 一 种 更 加 积极 主动 的 安全 防御 系统 。 
1. 入 侵 检 测 的 定义 
入 侵 指 一 系列 试图 破坏 信息 资源 完整 性 一致 性 和 可 用 性 的 行为 。 
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人 侵 检测 是 通过 从 计算 机 网 络 系统 中 的 若干 关键 节点 收集 信息 ,并 分 析 这 些 信 息 ,监控 
网 络 中 是 否 有 违反 安全 策略 的 行为 或 是 否 存在 入侵 行为 ,是 对 指向 计算 和 网 络 资源 的 恶意 
行为 的 识别 和 响应 过 程 。 

入 侵 检测 系统 : 入侵 检测 是 用 于 检测 任何 损害 或 企图 损害 系统 的 机 密 性 、 完 整 性 或 可 
用 性 等 行为 的 一 种 网 络 安全 技术 。 它 通过 监视 受 保护 系统 的 状态 和 活动 ,采用 异常 检测 或 
滥用 检测 的 方式 ,发 现 非 授权 的 或 恶意 的 系统 及 网 络 行为 ,为 防范 人 侵 行为 提供 有 效 的 手 
段 ,是 一 个 完备 的 网 络 安全 体系 的 重要 组 成 部 分 。 

入 侵 检 测 的 通用 流程 如 图 11-11 所 示 。 


-| 数据 提取 | 数据 数据 分 析 | 事件 结果 处 理 二 
































图 11-11 入 侵 检测 流程 


在 图 11-11 中 ,数据 提取 模块 的 作用 在 于 为 系统 提供 数据 ,数据 的 来 源 可 以 是 主机 上 的 
日 志 信息 、 变 动 信息 ,也 可 以 是 网 络 上 的 数据 信息 、 网 络 流量 。 数 据 提取 模块 在 获得 原始 数 
据 以 后 需要 对 其 进行 简单 的 处 理 ,如 简单 的 过 滤 、 数 据 格式 的 标准 化 等 ,然后 把 经 过 处 理 的 
数据 提交 给 数据 分 析 模 块 。 

数据 分 析 模 块 的 作用 在 于 对 数据 进行 深入 分 析 ,发 现 攻击 并 根据 分 析 的 结果 产生 事件 ， 
传递 给 结果 处 理 模块 。 数 据 分 析 的 方式 多 种 多 样 , 可 以 是 简单 对 某 种 行为 的 计数 (如 一 定时 
间 内 某 个 特定 用 户 登 录 失 败 的 次 数 ,或 某 种 特定 类 型 报 文 的 出 现 次 数 ) ,也 可 以 是 一 个 复杂 
的 专家 系统 。 该 模块 是 一 个 人 侵 检 测 系统 的 核心 ,在 入侵 检测 方法 中 将 详细 讲述 。 

最 后 根据 事件 产生 响应 。 响 应 可 以 是 积极 主动 的 ,如 对 人 侵 者 采取 反击 行为 ,收集 入侵 
者 的 额外 信息 等 ; 也 可 以 是 被 动 的 ,系统 仅仅 简单 对 所 检测 到 的 和 人 侵 产生 报警 或 文档 ,提醒 
管理 员 注意 。 

如 果 检 测 到 入 侵 的 速度 足够 快 ,在 攻击 发 生 或 危及 数据 之 前 ,就 可 以 识别 出 入 侵 者 ,并 
且 将 他 们 驱逐 ,即使 没有 非常 及 时 地 检测 到 入 侵 , 入 侵 检测 越 快 ,破坏 的 程度 也 就 越 低 。 并 
且 , 有 效 的 入 侵 检测 系统 可 以 看 成 是 阻止 人 侵 的 屏障 ,而 且 有 威慑 作用 。 


2. 入 侵 检 测 系统 的 发 展 历史 


入侵 检测 系统 自 20 世纪 80 年 代 提 出 后 ,其 发 展 是 十 分 迅速 的 ,大 致 可 分 为 以 下 几 个 
阶段 : 

1) 概念 诞生 阶段 

1980 年 4 月 ,James P. Anderson 为 美国 空军 做 了 一 份 题 为 (Computer Security Threat 
Monitoring and Surveillance》( 计 算 机 安全 威胁 监控 与 监视 ) 的 技术 报告 ,第 一 次 详细 阐述 
了 入 侵 检 测 的 概念 。 他 提出 了 一 种 对 计算 机 系统 风险 和 威胁 的 分 类 方法 ,并 将 威胁 分 为 外 
部 渗透 .内 部 渗透 和 不 法 行为 三 种 ,同时 还 提出 了 利用 审计 跟踪 数据 监视 入 侵 活动 的 思想 。 
由 于 在 该 文中 第 一 次 提 到 了 入 侵 检 测 这 一 术语 ,这 份 报告 因此 被 公认 为 是 入 侵 检测 的 开山 
之 作 。 但 此 时 的 入侵 检测 仅仅 是 一 个 概念 ,没有 实质 性 的 模型 出 现 。 

2) 模型 的 产生 

从 1984 一 1986 年 ,乔治 敦 大 学 的 Dorothy Denning 和 SRI/CSL(SRI 公司 计算 机 科学 
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实验 室 ) 的 Peter Neumann 研究 出 了 一 个 实时 入 侵 检测 系统 模型 , 取 名 为 IDES( 入 侵 检测 
专家 系统 ) 。 该 模型 由 6 个 部 分 组 成 : 主体 对 象 . 审 计 记 录 、 轮 廓 特征 .异常 记录 、 活 动 规 
则 。 它 独立 于 特定 的 系统 平台 .应 用 环境 .系统 弱点 以 及 人 侵 类 型 ,为 构建 人 侵 检测 系统 提 
供 了 一 个 通用 的 框架 。 

3) 模型 的 发 展 

1988 年 ,SRI/CSL 的 Teresa Lunt 等 人 改进 了 Denning 的 入 侵 检测 模型 ,并 开发 出 了 
一 个 IDES。 该 系统 包括 一 个 异常 检测 器 和 一 个 专家 系统 ,分 别 用 于 统计 异常 模型 的 建立 和 
基于 规则 的 特征 分 析 检 测 。IDES 模型 基于 这 样 的 假设 : 有 可 能 建立 一 个 框架 描述 发 生 在 
主体 (通常 是 用 户 ) 和 客体 (通常 是 文件 程序 或 设备 ) 之 间 的 正常 的 交互 作用 。 这 个 框架 由 
一 个 使 用 规则 库 ( 规 则 库 描述 了 已 知 的 违例 行为 ) 的 专家 系统 支持 。 这 能 防止 使 用 者 逐渐 训 
练 (误导 ) 系 统 把 非法 的 行为 当成 正常 的 来 接受 ,也 就 是 说 让 系统 “见怪 不 怪 ”。 这 个 系统 用 
于 检测 单一 主机 的 入 侵 尝试 ,提出 了 与 系统 平台 无 关 的 实时 检测 思想 。 在 这 一 时 期 ,1988 
年 的 Morris 蠕虫 事件 促进 了 更 多 关于 IDS 的 开发 与 研究 。 

4) 基于 网 络 入 侵 检测 系统 的 产生 

在 很 长 一 段 时 间 里 ,IDS 系统 都 依靠 受 保护 主机 收集 审计 数据 ,在 此 基础 上 进行 监测 和 
分 析 , 它 的 监测 目标 主要 是 主机 系统 和 本 地 用 户 , 系 统一 般 运 行 在 受 保护 的 主机 上 ,依赖 于 
审计 数据 和 系统 日 志 的 完整 性 和 准确 性 ,以 及 对 安全 事件 的 定义 。 假 如 入 侵 者 设法 逃避 审 
计 或 者 修改 日 志 , 这 种 系统 的 弱点 就 暴露 出 来 了 。 在 现 有 的 网 络 环境 下 ,单独 地 依靠 主机 审 
计 信 息 无 法 满足 网 络 安全 的 需要 。 直 到 1990 年 ,加州 大 学 戴 维 斯 分 校 开发 的 网 络 系统 监控 
器 一 一 NSM(the network system monitor) 改 变 了 这 个 状况 。NSM 是 入 侵 检测 技术 发 展 史 
上 继 IDES 之 后 的 又 一 个 里 程 碑 。 它 监控 以 太 网 段 上 的 网 络 流量 ,并 把 它 作 为 分 析 的 主要 
数据 源 。 从 当时 的 检测 报告 上 来 看 , NSM 检测 了 超过 100 000 个 网 络 连 接 ,并 从 中 识别 出 
超过 300 个 人 侵 。 今 天 ,大 部 分 商业 IDS 系统 直接 使 用 从 网 络 探测 的 数据 作为 它们 主要 的 、 
甚至 是 唯一 的 数据 源 。 

5) 异常 检测 方法 的 发 展 

早期 的 基于 主机 的 入 侵 检测 系统 以 及 20 世纪 90 年 代 之 后 发 展 起 来 的 基于 网 络 的 入 侵 
检测 系统 都 应 用 了 滥用 检测 方法 , 即 首 先 对 各 种 入 侵 行为 进行 分 析 并 归纳 出 一 定 的 入 侵 模 
式 , 然 后 将 当前 的 网 络 或 系统 行为 与 这 些 入 侵 模 式 进行 匹配 ,如 果 吻合 则 表示 当前 行为 为 人 
侵 。 这 种 方法 的 优点 是 准确 率 高 ,执行 速度 快 ,但 缺点 也 是 明显 的 , 即 无 法 检测 到 新 型 的 入 
侵 , 这 对 于 安全 要 求 较 高 的 计算 机 系统 及 网 络 而 言 是 不 能 满足 要 求 的 。 因 此 ,人 们 变换 思 
路 ,提出 了 另 一 种 入 侵 检测 的 方法 , 即 异常 检测 方法 。 

值得 一 提 的 是 ,在 网 络 和 人 侵 检测 系统 中 ,有 多 个 著名 的 开放 源 代 码 Copen source) 软 件 ， 
对 IDS 的 发 展 起 到 了 重要 的 推动 作用 ,它们 是 Snort\Shadow Prelude IDS、Bro 等 。 

在 国内 ,目前 对 入 侵 检测 系统 的 研究 也 取得 了 一 定 的 进展 ,有 的 是 在 防火 墙 中 集成 人 侵 
检测 模块 ,有 的 则 形成 了 独立 的 入 侵 检测 系统 。 但 总 的 来 说 ,这 些 系统 大 多 采用 常规 的 模式 
识别 和 完整 性 检测 技术 ,在 统计 分 析 、 数 据 挖掘 等 项 技术 的 应 用 上 还 缺乏 研究 。 

从 商业 产品 来 看 ,国外 著名 的 产品 有 Internet Security System(ISS) 公 司 的 RealSecure、 
Cisco 公司 的 NetRanger、Network Associates 公司 的 CyberCop 等 ; 国内 的 IDS 厂商 和 产 
品 也 非常 丰富 ,包括 中 联 绿 盟 的 “ 冰 之 眼 ” 网 络 入 侵 侦 测 系统 、 启 明星 展 的 “天 阅 ” 和 人 侵 检测 与 


206 信息 安全 原理 及 应 用 (第 3 版 ) 





预警 系统 .中 科 网 威 的 “天 眼 ? 人 侵 检测 系统 等 。 
3. 入 侵 检测 系统 的 功能 


入 侵 检测 系统 的 功能 可 以 归纳 为 如 下 4 点 : 

1) 识别 黑客 的 常用 入 侵 与 攻击 手段 

入 侵 检测 技术 通过 分 析 各 种 攻击 的 特征 ,可 以 全 面 快速 地 识别 探测 攻击 .拒绝 服务 攻 
击 ` 缓 冲 区 溢出 攻击 .电子 邮件 攻击 ,浏览 器 攻击 等 各 种 常用 攻击 手段 ,并 做 出 相应 的 防范 。 
一 般 来 说 ,黑客 在 进行 人 侵 的 第 一 步 探 测 、 收 集 网 络 及 系统 信息 时 ,就 会 被 IDS 捕获 ,向 管 
理 员 发 出 警告 。 

2) 监控 网 络 异常 通信 

IDS 系统 会 对 网 络 中 不 正常 的 通信 连接 做 出 反应 ,保证 网 络 通信 的 合法 性 ,任何 不 符合 
网 络 安全 策略 的 网 络 数据 都 会 被 IDS 侦 测 到 并 警告 。 

3) 鉴别 对 系统 漏洞 及 后 门 的 利用 

IDS 系统 一 般 带 有 系统 漏洞 及 后 门 的 详细 信息 ,通过 对 网 络 数据 包 连 接 的 方式 .连接 端口 
以 及 连接 中 特定 的 内 容 等 特征 分 析 , 可 以 有 效 地 发 现 网 络 通信 中 针对 系统 漏洞 进行 的 非法 行为 。 

4) 完善 网 络 安全 管理 

IDS 通过 对 攻击 或 和 人 侵 的 检测 及 反应 ,可 以 有 效 地 发 现 和 防止 大 部 分 的 网 络 犯罪 行为 ， 
给 网 络 安全 管理 提供 了 一 个 集中 方便 ` 有 效 的 工具 。 使 用 IDS 系统 的 监测 、 统 计 分 析 、 报 
表 功 能 ,可 以 进一步 完善 网 络 管理 。 


11.22 入 侵 检 测 系 统 分 类 


在 人 侵 检测 系统 中 ,根据 系统 数据 来 源 的 不 同 ,可 将 入 侵 检测 系统 分 成 三 类 : 基于 主机 
的 人 侵 检 测 系统 、 基 于 网 络 的 人 侵 检 测 系统 和 分 布 式 人 侵 检 测 系 统 。 


1. 基于 主机 的 入 侵 检测 系统 


基于 主机 的 人 侵 检测 系统 (hostbased IDS, HIDS) 出 现在 20 世纪 80 年 代 初 期 , 那 时 网 
络 还 没有 今天 这 样 普及 和 复杂 ,而 且 网 络 之 间 也 没有 完全 连通 。 在 这 种 比较 简单 的 环境 中 ， 
网 络 管理 员 通 过 检查 审计 日 志 发 现 可 疑 行为 。 现 在 基于 主机 的 入 侵 检 测 系统 仍 使 用 审计 日 
志 的 方法 ,但 自动 化 程度 大 大 提高 ,并 发 展 到 精密 的 和 迅速 响应 的 检测 技术 。 

基于 主机 的 和 人 侵 检测 系统 通常 被 安装 在 被 保护 的 主机 上 ,对 该 主机 的 网 络 实时 连接 以 及 系 
统 审计 日 志 进 行 分 析 和 检查 , 当 发 现 可 疑 行为 和 安全 违规 事件 时 ,系统 就 会 向 管理 员 报 警 ,以 便 
采取 措施 。 这 些 受 保护 的 主机 可 以 是 Web 服务 器 .邮件 服务 器 .DNS 服务 器 等 关键 主机 设备 。 

HIDS 考查 若干 日 志文 件 ( 内 核 、 系 统 、 服 务 器 、 网 络 、 防 火 墙 等 ), 并 拿 日 志文 件 和 常见 
已 知 攻击 的 内 部 数据 库 进 行 比较 。 

Windows 有 自 带 的 日 志 系 统 , 如 Windows XP 的 日 志文 件 可 以 通过 “事件 查看 器 ”来 进 
行 查阅 。 应 用 程序 日 志 、 安 全 日 志 、 系 统 日 志 、DNS 日 志 默 认 情 况 下 都 位 于 C:\WINNT\ 
system32\config 文件 夹 中 ,以 “. evt” 做 文件 扩展 名 ,还 有 一 部 分 存放 在 C:\Windows 目录 
下 ,以 “. log” 为 文件 扩展 名 。 图 11-12 所 示 是 在 config 文件 夹 中 日 志文 件 的 列表 。 
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图 11-12 config 文件 夹 中 的 日 志文 件 列表 


UNIX 系统 采用 Syslog 工具 实现 日 志 功 能 。 如 果 配 置 正确 ,主机 上 发 生 的 所 有 事情 都 
会 被 记录 下 来 。 而 这 些 数据 , 则 可 以 作为 基于 主机 的 入 侵 检测 系统 的 数据 来 源 。 

另外 ,HIDS 还 可 以 使 用 防火 墙 等 其 他 安全 工具 的 日 志 系 统 。 

图 11-13 所 示 为 一 个 在 一 些 服务 器 和 个 人 计算 机 上 安装 了 HIDS 的 网 络 。 安 装 在 邮件 


服务 器 上 的 HIDS 可 以 主要 只 设置 和 邮件 服务 器 相关 的 规则 ,使 其 免 受 入侵 ; 安装 在 Web 
服务 器 上 的 IDS 则 主要 设置 和 Web 服务 相关 的 规则 。 
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图 11-13 HIDS 在 网 络 中 的 部 署 
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目前 ,多 数 网 络 攻 击 的 目标 是 DNS、E-mail 和 Web 服务 器 ,大 约 占 全 部 网 络 攻击 事件 
的 1/3 以 上 。 这 些 服务 器 必须 与 Internet 互联 ,所 以 在 各 服务 器 上 应 当 安装 基于 主机 的 人 
侵 检测 系统 ,并 将 检测 结果 及 时 向 管理 员 报 告 。 基 于 主机 的 人 侵 检测 系统 没有 带宽 的 限制 ， 
它 密切 监视 系统 日 志 , 能 识别 运行 代理 计算 机 上 受到 的 攻击 。 基 于 主机 的 系统 提供 了 基于 
网 络 系统 所 不 能 提供 的 精细 功能 ,包括 二 进 制 完整 性 检查 、 系 统 日 志 分 析 和 非法 进程 关闭 的 
功能 ,并 能 根据 受 保护 站 点 的 实际 情况 进行 针对 性 的 定制 ,使 其 工作 非常 有 效果 , 误 警 率 非 
常 低 。 例 如 ,Web 服务 器 入 侵 检 测 系统 相当 于 一 套 复杂 的 过 滤 设 备 ,使 用 一 个 攻击 字符 串 
列表 对 Web 服务 器 进行 监视 ,可 以 发 现 对 Web 服务 器 已 知 各 种 可 能 的 攻击 。 这 样 的 入 侵 
检测 系统 在 工作 时 ,即使 有 一 些 误 警 事件 也 影响 不 大 ,因为 这 样 可 以 通告 管理 员 在 Web 服 
务 器 上 运行 了 哪些 具有 脆弱 性 的 服务 ,从 而 采取 打 补 丁 或 升级 应 用 程序 的 对 策 。 

当然 ,HIDS 也 有 其 弱点 和 无 法 检测 的 讶 点。 首先 ,HIDS 的 检测 效果 取决 于 涉及 数据 
或 系统 日 志 的 准确 性 和 完整 性 以 及 安全 事件 的 定义 ,入 侵 者 可 以 通过 使 用 某 些 系统 特权 或 
调用 比 审计 本 身 更 低级 的 操作 来 逃避 审计 。 另 外 ,HIDS 并 不 能 检测 众多 基于 网 络 的 攻击 ， 
例如 域名 欺骗 .端口 扫描 等 。 同 时 ,基于 主机 的 和 人 侵 检测 系统 由 于 安装 并 运行 于 主机 上 ,或 
多 或 少 地 会 影响 主机 的 性 能 。 所 以 ,单独 地 依靠 主机 审计 信息 进行 入 侵 检测 难以 适应 网 络 
安全 的 需求 。 


2. 基于 网 络 的 入 侵 检测 系统 


基于 网 络 的 入 侵 检测 系统 (network-based IDS,NIDS) 一 般 安 装 在 需要 保护 的 网 段 中 ， 
实时 监视 网 段 中 传输 的 各 种 数据 包 ,并 对 这 些 数据 包 进 行 分 析 和 检测 。 如 果 发 现 入侵 行 为 
或 可 疑 事件 ,入 侵 检 测 系统 就 会 发 出 警报 甚至 切断 网 络 连接 。 它 的 工作 层面 是 在 路 由 器 或 
主机 级 别 扫描 网 络 分 组 、 审 查分 组 信息 ,并 在 一 个 特殊 文件 中 详细 记录 可 疑 分 组 。 根 据 这 些 
可 疑 分 组 ,基于 网 络 的 IDS 可 以 扫描 它 自己 的 已 知 网 络 攻击 特征 数据 库 , 并 为 每 个 分 组 指 
定 严重 级 别 。 如 果 严 重 级 别 足 够 高 , 它 就 会 给 安全 组 的 成 员 发 送 电子 邮件 或 发 出 传呼 ,因此 
安全 组 的 成 员 就 可 以 进一步 调查 这 些 异 常 特点 。 

多 数 基于 网 络 的 IDS 的 数据 收集 部 分 是 一 个 嗅 探 器 ,用 来 嗅 探 网 络 上 传输 的 数据 ,一 
般 是 把 安装 了 NIDS 的 主机 网 卡 设置 为 混杂 (promiscuous) 模 式 , 该 模式 允许 设备 捕捉 每 个 
经 过 网 络 的 数据 包 。 混 杂 模 式 可 以 通过 ifconfig 命令 设置 ,如 ifconfig eth0 promisc, 或 通过 
专门 的 函数 接口 设置 。 

基于 网 络 的 人 侵 检测 系统 如 同 网 络 中 的 摄像 机 ,只 要 在 一 个 网 络 中 安放 一 台 或 多 台 和 
侵 检 测 引擎 (如 图 11-14 所 示 ) ,就 可 以 监视 整个 网 络 的 运行 情况 ,在 黑客 攻击 造成 破坏 之 
前 ,预先 发 出 警报 。 

图 11-14 中 的 这 个 网 络 使 用 了 三 个 NIDS. 这 些 IDS 都 被 放 在 网 络 最 关键 的 地 方 ,能 监 
视 到 关键 部 位 处 所 有 设备 的 网 络 通 信 。 这 是 一 个 典型 的 基于 NIDS 的 网 络 保护 方案 拓扑 
图 ,提供 公共 服务 的 服务 器 子 网 如 果 被 入 侵 , 这 台 服 务 器 会 变 成 一 个 跳板 攻击 整个 子 网 ,所 
以 要 被 NIDS 保护 着 。 内 网 中 的 工作 站 被 另 一 个 IDS 保护 着 ,这样 可 以 减少 内 网 主机 被 人 
侵 的 危险 ,在 网 络 中 布置 多 个 NIDS 是 深层 安全 防护 的 一 个 很 好 的 应 用 。 

基于 网 络 的 入 侵 检 测 系 统 的 优点 在 于 , 它 的 检测 范围 是 整个 网 段 ,不 仅仅 是 保护 主机 ， 
它 的 防护 和 检测 是 实时 的 ,一 旦 发 生 恶意 访问 或 攻击 ,基于 网 络 的 入 侵 检 测 系 统 就 可 以 随时 
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发 现 ,因此 能 够 更 快 地 做 出 反应 ,将 人 侵 活动 对 系统 的 破坏 减 到 最 低 。 由 于 不 需要 在 每 人 台 
机 上 安装 基于 网 络 的 人 侵 检测 系统 ,所 以 它 不 容易 被 攻击 者 发 现 ,甚至 可 以 没有 网 络 地 址 ， 
神秘 地 隐藏 在 幕后 。 这 对 许多 网 络 内 部 的 攻击 者 是 一 种 很 大 的 威慑 (普遍 认为 ,50% 以 上 的 
网 络 攻击 都 来 自 网 络 内 部 )。 另 外 ,NIDS 不 需要 任何 特殊 的 审计 和 登录 机 制 , 只 要 配备 网 
络 接口 即 可 ,不 会 影响 其 他 数据 源 。 随 着 互联 网 在 其 范围 和 通信 流量 方面 的 增 大 ,基于 网 络 
的 IDS 已 经 越 来 越 受 欢迎 。 在 安全 行业 中 ,能 够 扫描 大 量 网 络 活动 并 成 功 地 标记 可 疑 传输 
的 IDS 很 受 好 评 。 

NIDS 的 主要 不 足 之 处 在 于 只 能 检测 经 过 本 网 络 的 活动 ,并 且 精 确 度 较 差 ,在 交换 式 网 
络 环境 下 难以 配置 , 防 入 侵 欺 骗 能 力 较 差 。 而 且 无 法 知道 主机 内 部 的 安全 情况 ,主机 内 部 普 
通用 户 的 威胁 也 是 网 络 信 息 系统 安全 的 重要 组 成 部 分 。 另 外 ,如 果 数 据 流 进 行 了 加 密 ， 
NIDS 也 不 能 有 效 审查 其 内 容 , 对 主机 上 执行 的 命令 也 就 难以 检测 。 因 此 ,NIDS 和 HIDS 
在 方法 上 是 互补 的 ,并 且 在 抵制 人 侵 的 不 同 阶段 发 挥 不 同 的 作用 。 


3. 分 布 式 入 侵 检测 系统 


随 着 网 络 系统 结构 的 复杂 化 和 大 型 化 ,出 现 了 许多 新 的 问题 。 首 先 ,系统 的 弱点 或 漏洞 
分 散在 网 络 中 的 各 个 主机 上 ,这些 弱点 有 可 能 被 人 侵 者 用 来 攻击 网 络 ,而 仅 依靠 一 个 主机 或 
网 络 的 人 侵 检 测 系统 很 难 发 现 人 侵 行 为 ; 其 次 ,入 侵 行为 不 再 是 单一 的 行为 ,而 是 表现 出 相 
互 协作 入 侵 的 特点 ,如 分 布 式 拒绝 服务 攻击 ; 最 后 ,入 侵 检测 所 依靠 的 数据 来 源 分 散 化 ,使 
得 收集 原始 的 检测 数据 变 得 比较 困难 ,如 监听 交换 型 网 络 的 网 络 数据 包 功 能 受到 限制 ; 另 
外 ,网 络 速度 传输 加 快 ,网 络 流量 大 ,原始 数据 的 集中 处 理 方式 往往 造成 检测 瓶颈 ,从 而 导致 
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漏 检 。 基 于 这 种 情况 ,分 布 式 人 侵 检测 系统 应 运 而 生 。 

分 布 式 人 侵 检 测 系 统 (Distributed IDS ,简称 DIDS) 的 目标 是 既 能 检测 网 络 入侵 行为 ， 
又 能 检测 主机 的 人 侵 行 为 。 系 统 通常 由 数据 采集 模块 .通信 传输 模块 .人 侵 检测 分 析 模 块 、 
响应 处 理 模块 .管理 中 心 模块 等 组 成 。 这 些 模 块 可 根据 不 同情 况 进行 组 合 。 也 可 以 简单 地 
把 DIDS 理解 成 由 HIDS( 主 机 检测 引擎 ) .NIDS( 网 络 检测 引擎 ) 以 及 一 个 中 央 管 理 平 台 
成 。 事 实 上 ,入 侵 检测 产品 的 商家 也 是 把 这 些 组 件 根据 网 络 安全 的 实际 情况 分 别 计价 出 售 
的 。 例 如 ,一 个 网 络 中 通常 部 署 一 个 管理 中 心 .若干 个 主机 检测 引擎 和 若干 个 网 络 检测 引 
擎 。 其 中 网 络 检测 引擎 作为 探测 器 放置 在 网 络 中 监测 其 所 在 网 段 上 的 数据 流 , 它 根据 集中 
安全 管理 中 心 制定 的 安全 策略 .响应 规则 等 分 析 检 测 网 络 数据 ,同时 向 集中 安全 管理 中 心 发 
回 安全 事件 信息 ; 主机 检测 引擎 安装 在 重要 服务 器 上 ,对 主机 进行 实时 审计 ,主机 审计 数据 
也 定时 的 传送 到 管理 平台 并 保存 在 中 央 数 据 库 中 。 管 理 平台 通过 综合 信息 确定 入 侵 事 件 、 
制定 相应 策略 ; 集中 安全 管理 中 心 是 整个 分 布 式 入 侵 检 测 系统 面向 用 户 的 界面 。 它 的 特点 
是 对 数据 保护 的 范围 比较 大 ,但 对 网 络 流量 有 一 定 的 影响 。 

图 11-15 所 示 为 分 布 式 人 侵 检测 系统 在 网 络 中 的 部 署 结构 。 可 以 看 到 DIDS 包括 了 
4 个 探测 器 和 1 个 中 央 管 理 平台 ,探测 器 1 和 探测 器 2 保护 着 提供 公共 服务 的 服务 器 。 探 
测 器 3 和 探测 器 4 在 和 信任 的 网 络 区 域 中 保护 着 里 面 的 计算 机 。 


探测 器 1 探测 器 2 
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图 11-15 DIDS 在 网 络 中 的 部 署 


在 DIDS 研究 方面 ,美国 国防 高 级 研究 计划 署 (The Defense Advanced Research 
Projects Agency,DARPA) 和 互联 网 工程 任务 组 (Internet Engineering Task Force,IETF) 
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的 入侵 检测 工作 组 (Intrusion Detection Working Group,IDWG) 提 出 了 公共 入 侵 检 测 框架 
(common intrusion detection framework,CIDF) ,CIDF 已 成 为 人 侵 检测 领域 最 有 影响 力 的 
建议 。 美 国 普度 大 学 安全 研究 中 心 (The Center for Education and Research in Information 
Assurance and Security,CERIAS) 则 提出 了 基于 主体 入 侵 检 测 系统 ,其 主要 方法 是 采用 相 
互 独立 运行 的 进程 组 ( 称 为 自治 主体 Agent) 分 别 负责 人 侵 检测 ,最 后 将 结果 传送 到 检测 
中 心 。 


11.23 入 侵 检 测 方 法 


入侵 检 测 系 统 中 最 重要 的 组 成 部 分 为 数据 分 析 模 块 , 即 入 侵 检测 所 采用 的 方法 。 无 论 
基于 网 络 还 是 基于 主机 的 入 侵 检测 系统 ,它们 所 采用 的 检测 方法 可 以 分 为 两 种 , 即 滥用 检测 
(misuse detection) 方 法 与 异常 检测 (anomaly detection) 方 法 。 


1. 混用 检测 


滥用 检测 也 被 称 为 误 用 检测 或 基于 特征 的 检测 。 这 种 方法 首先 直接 对 入 侵 行 为 进行 特 
征 化 描述 ,建立 某 种 或 某 类 入 侵 特 征 行为 的 模式 ,如 果 发 现 当 前 行为 与 某 个 人 侵 模 式 一 致 ， 
就 表示 发 生 了 这 种 入 侵 。 它 的 难点 在 于 如 何 设 计 模 式 , 使 其 既 表 达 入 侵 又 不 会 将 正常 模式 
包括 进来 。 滥 用 检测 方法 的 基本 流程 如 图 11-16 所 示 。 





审计 数据 此 贸 














11-16 采用 滥用 检测 方法 的 数据 分 析 模 块 


这 种 方法 由 于 依据 具体 特征 库 进行 判断 ,所 以 检测 准确 度 很 高 ,并且 因为 检测 结果 有 明 
确 的 参照 ,为 系统 管理 员 做 出 相应 措施 提供 了 方便 。 这 种 检测 方式 和 防 病毒 软件 很 相似 , 行 
为 特征 库 类 似 于 防 病毒 软件 中 的 病毒 库 。 目 前 商用 的 人 侵 检测 系统 都 是 采用 了 这 种 检测 
方法 。 

如 果 系 统 错误 的 将 正常 活动 定义 为 人 侵 , 称 为 错 报 ,也 称 为 误 报 ; 如 果 系 统 未 能 检测 真 
正 的 入 侵 行为 , 则 称 为 漏 报 。 这 是 衡量 入 侵 检测 系统 很 重要 的 两 个 指标 。 滥 用 检测 方法 误 
报 率 少 ,但 漏 报 率 较 高 。 它 的 特征 库 中 只 存储 了 当前 已 知 的 攻击 模式 和 系统 脆弱 性 ,无 法 发 
现 新 的 攻击 形式 。 因 此 ,目前 的 研究 主要 集中 在 异常 检测 方法 上 。 


2. 异常 检测 


异常 检测 方法 主要 来 源 于 这 样 的 思想 : 任何 人 的 正常 行为 都 是 有 一 定 规律 的 ,并 且 可 
以 通过 分 析 这 些 行为 产生 的 日 志 信 息 (假定 日 志 信 息 足 够 完全 ) 总 结 一 些 规律 ,而 人 侵 和 洲 
用 行为 则 通常 与 正常 行为 会 有 比较 大 的 差异 ,通过 检查 这 些 差异 就 可 以 检测 出 入 侵 。 
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这 样 ,为 正常 行为 建立 一 个 规则 集 , 称 为 正常 行为 模式 ,也 称 为 正常 轮廓 Cnormal 
profile) ,也 被 称 为 用户 轮 廓 ”, 当 用 户 活动 和 正常 轮 廊 有 较 大 偏离 的 时 候 认 为 异常 或 人 侵 
行为 。 这 样 能 够 检测 出 非法 的 入 侵 行为 甚至 是 通过 未 知 攻击 方法 进行 的 入 侵 行 为 ,此 外 不 
属于 入 侵 的 异常 用 户 行为 (滥用 自己 的 权限 ) 也 能 被 检测 到 。 

异常 检测 的 效率 取决 于 用 户 轮 廓 的 完备 性 和 监控 的 频率 ,因而 能 检测 未 知 的 入 侵 。 同 
时 ,系统 能 针对 用 户 行为 的 改变 进行 自我 调整 和 优化 。 它 的 难点 在 于 用 户 轮廓 的 建立 以 及 
如 何 比较 用 户 轮 廓 和 审计 数据 。 

异常 检测 方法 的 基本 流程 如 图 11-17 所 示 。 








审计 数据 











图 11-17 采用 异常 检测 方法 的 数据 分 析 模 块 


相对 于 滥用 检测 方法 ,异常 检测 方法 需要 更 强 的 智能 性 ,目前 对 异常 检测 方法 的 研究 已 
经 有 很 多 。Land 和 Brodley 在 1997 年 提出 用 机 器 学 习 的 方法 建立 异常 检测 模型 , Wenke 
Lee,Stofle 等 人 在 1998 年 提出 利用 数据 挖掘 技术 分 析 网 络 数据 包 的 特征 并 以 此 建立 异常 
检测 模型 等 。 

从 20 世纪 90 年 代 至 今 ,对 入 侵 检 测 系统 的 研究 呈现 出 百家争鸣 的 繁荣 局 面 ,并 在 智能 
化 和 分 布 式 两 个 方向 取得 了 长 足 的 进展 。 目 前 采用 该 方法 的 检测 系统 由 于 在 建立 正常 行为 
模式 上 还 有 许多 不 完善 之 处 ,导致 其 有 误 报 率 较 高 的 问题 。 但 由 于 这 种 检测 方式 可 以 检测 
到 未 知 的 入侵 ,这 对 于 一 个 大 型 的 .具有 较 高 安全 级 别 需 求 的 网 络 是 非常 重要 的 ,所 以 长 期 
以 来 一 直 受 到 人 们 的 关注 。 


11.24 网 络 入 侵 检 测 系 统 Snot 简介 


早 在 1998 年 ,Martin Roesch 开发 了 开放 源 代 码 的 入 侵 检 测 系统 Snort。 直 至 今天 ， 
Snort 已 发 展 成 为 一 个 多 平台 的 强大 的 网 络 人 侵 检测 系统 。 

Snort 可 以 完成 数据 包 嗅 探 , 数 据 包 记录 、 和 人 侵 检测 、 实 时 发 送 报警 信息 。Snort 常 被 称 
为 轻 量 级 的 人 侵 检测 系统 ,这 里 * 轻 量 级 ”的 意思 是 占用 的 资源 非常 少 , 能 运行 在 不 同 的 操作 
系统 上 ,另外 ,还 能 提供 一 些 以 前 只 有 商业 NIDS 才能 提供 的 功能 。 所 以 ,目前 ,Snort 是 最 
流行 的 免费 NIDS。 

当然 ,Snort 的 流行 还 得 益 于 日 渐 流行 的 Linux 和 其 他 的 免费 操作 系统 ,如 BSD 系列 的 
NetBSD .OpenBSD 和 FreeBSD 等 ,早期 开发 的 Snort 是 在 这 些 操作 系统 上 运行 。 现 在 ， 
Snort 拥有 可 以 运行 在 Solaris\HP-UX IRIX 甚至 Windows 上 的 版 本 。 

Snort 是 基于 滥用 检测 的 IDS, 使 用 规则 的 定义 检查 网 络 中 的 问题 数据 包 。 一 个 规则 被 
触发 后 会 产生 一 条 报警 信息 。 例 如 ,可 以 定义 一 条 检查 是 否 有 端 到 端 P2P 文件 共享 服务 的 
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规则 ,规则 内 容 为 检查 连接 到 非 80 端口 服务 的 数据 是 否 有 “GET” 字 符 串 。 如 果 有 数据 包 
匹配 这 条 规则 ,就 会 产生 报警 信息 。 这 条 报警 信息 可 以 根据 配置 不 同 保存 至 多 个 地 方 ,如 日 
志文 件 数据库、 或 SNMP 的 trap 命令 等 。 

Snort 最 初 的 开发 目的 是 做 一 个 嗅 探 器 Sniffer。1998 年 11 月 ,Marty Roesch 写 了 一 
个 Linux 平 台 下 的 数据 包 嗅 探 器 ,起 名 叫 APE。 后 来 ,他 又 在 其 中 加 入 了 些 其 他 的 功能 : 使 
用 十 六 进 制 输出 格式 记录 数据 包 、 使 用 统一 的 方式 显示 不 同 网 络 中 的 数据 包 等 。 

1998 年 12 月 , Snort 程序 被 放 到 Packet Storm 网 站 上 供 人 下 载 。1999 年 1 月 ,在 
Snort 中 加 入 了 基于 特征 分 析 的 功能 。 这 时 Snort 开始 向 人 侵 检测 靠拢 。1999 年 10 月 
Snort 1.5 版 发 布 。 其 软件 体系 结构 一 直 沿 用 下 来 ,直到 Snort 2. 0 版 ,Marty Roesch 才 对 
软件 体系 结构 作 了 重大 变革 。 从 早期 的 1600 行 代码 增加 到 了 75000 行 。 

随 着 Snort 的 流行 ,Snort 的 规则 格式 渐渐 成 为 标准 。 本 书 采用 了 Windows 下 的 Snort 
版 本 进行 研究 。 

Snort 由 以 下 几 个 部 分 组 成 : 数据 包 嗅 探 器 、 预 处 理 器 检测 引擎 、 报 警 输 出 模块 ,如 


图 11-18 所 示 。 
噢 | 预 处 | 检测 日 志 / 
贡 理 器 | 引擎 数据 库 


11-18 Snort 的 基本 组 成 
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Snort 的 基本 功能 是 数据 包 嗅 探 器 。 在 获取 数据 包 后 , 先 用 预 处 理 插件 处 理 , 然 后 经 过 
检测 引擎 中 所 有 的 规则 链 , 符 合 规则 的 数据 包 被 检测 出 来 。 

首先 利用 嗅 探 器 在 网 络 中 获取 数据 包 ,然后 通过 预 处 理 搬 件 对 数据 包 进行 初步 的 处 理 ， 
如 格式 处 理 、 基 本 分 类 。 接 着 按照 规则 判断 这 些 数据 包 是 否 引 入 安全 问题 ,如 果 有 , 则 确定 
如 何 处 理 这 些 数 据 包 (报警 或 保存 到 日 志 ) 。 

嗅 探 器 的 预 处 理 器 ,检测 引擎 和 报警 模块 都 是 以 插件 的 形式 存在 ,插件 程序 按照 Snort 
提供 的 插件 函数 接口 完成 ,使 用 时 动态 加 载 ,在 不 用 修改 核心 代码 的 前 提 下 让 snort 的 功能 
和 复杂 性 扩展 更 加 容易 。 既 保证 了 插件 程序 和 Snort 核心 代码 的 紧密 相关 性 ,又 保证 了 核 
心 代码 的 良好 扩展 性 。 


1. 数据 包 嗅 探 器 


嗅 探 功能 和 电话 窃听 比较 相似 。 不 同 的 是 电话 窃听 的 是 语音 网 络 而 数据 包 窃 听 的 是 数 
据 包 。 在 互联 网 上 通常 指 嗅 探 IP 网 络 的 流量 。 

在 IP 数据 包 里 包含 了 不 同类 型 的 协议 ,如 TCP,UDP,ICMP,IPSec 和 路 由 协议 等 , 因 
此 很 多 数据 包 嗅 探 器 还 能 够 做 协议 分 析 ,并 且 把 分 析 结 果 展 现 出 来 。 

数据 包 嗅 探 器 能 够 进行 网 络 分 析 和 故障 查找 ,进行 网 络 性 能 和 负荷 量 分 析 , 监 听 明 文 传 
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送 的 敏感 数据 。 

例如 ,在 附录 的 实验 中 提 到 的 Ethereal 就 是 一 个 很 典型 的 嗅 探 器 ,能够 完成 以 上 所 说 
的 所 有 功能 。 

嗅 探 器 不 等 于 入 侵 检测 系统 ,IDS 必须 还 有 检测 数据 包 是 否 合法 .是 否 会 带 来 安全 问题 
的 能 力 。 但 是 嗅 探 器 是 IDS 的 基础 ,是 它 的 重要 组 成 部 分 。Snort 可 以 很 好 地 完成 数据 嗅 
探 的 工作 ,但 是 它 的 价值 远 远 不 止 这 些 , 它 是 一 个 能 够 实时 监测 网 络 安全 的 有 力 工具 。 

Snort 是 将 机 器 的 网 卡 运行 在 “混杂 ”模式 ,然后 利用 Libpcap(Windows 操作 系统 下 使 
用 Winpcap) 从 网 卡 捕获 数据 包 。 数 据 包 经 过 解码 引擎 填 入 到 数据 链 路 层 协议 的 包 结 构 体 
中 ,以 便 对 高 层次 的 协议 进行 解码 。 所 以 在 安装 Snort 之 前 必须 安装 Libpcap 库 。 

混杂 模式 : 网 卡 默 认 方式 是 忽略 所 有 不 是 以 自己 的 MAC 地 址 为 目的 地 址 的 帧 。 网 卡 
还 有 另外 一 种 工作 方式 , 即 混杂 模式 ,采用 这 种 模式 时 ,网 卡 不 检查 目的 MAC 地 址 ,可 以 监 
听 网 络 中 所 有 的 数据 包 。 

Libpcap 库 允 许 开发 人 员 在 不 同 的 UNIX 平台 上 从 数据 链 路 层 接收 数据 包 , 不 必 考 虑 
网 卡 以 及 驱动 程序 的 不 同 。 更 重要 的 是 Libpcap 库 直 接 从 网 卡 取得 数据 包 , 允许 开发 人 员 
自己 写 程序 代码 、 显 示 和 记录 数据 报 文 。 

在 snort.c 源 代码 中 ,实现 Snort 启动 的 时 候 进行 一 系列 的 设置 和 配置 。 在 检查 接口 和 设 
置 网 卡 进 入 混杂 模式 之 后 ,Snort 调用 libpcap 库 , 进 入 主 执行 循环 ,或 叫 作 pcap 循环 ,使 用 了 
libpcap 就 不 需要 重新 解码 和 抓 包 程序 ,开发 嗅 探 器 就 变 得 很 容易 了 。 最 初 的 libpcap 是 基于 
UNIX 系 统 的 。 意 大 利 的 一 个 研发 组 织 编写 了 Windows 版 本 的 Winpcap, 可 以 被 基于 
Windows 平台 的 嗅 探 器 使 用 ,如 Snort 的 Windows 平台 版 本 和 Ethereal 的 Windows 版 本 。 

图 11-19 所 示 为 Snort 在 网 络 中 的 应 用 。 


















客户 平台 
主机 名 : PC1 主机 名 : PC2 , i 
IP: 10.1.1.10 IP: 10.1.1.236 ee ee 
,00-10-A4-A2-09- DTD A A :机 名 : Linu 
MAC : 00-10-A4-A2-09-66 MAC : 00-10-A4-A2-09-77 et 
MAC : 00-10-A4-A2-09-88 
Windows 服 务 器 
主机 名 : Windows Server 
主机 名 : Snort IP: 10.1.1.251 
IP: 10.1.1.254 MAC : 00-10-A4-A2-09-99 


MAC : 00-10-A4-A2-09-01 
Snort IDS 
11-19 Snort 在 网 络 中 的 应 用 


在 这 个 网 络 中 ,客户 平台 、Linux 服务 器 和 Windows 服务 器 以 及 一 台 安 装 了 Snort 的 主 
机 用 集线器 连接 在 一 起 ,集线器 是 共享 设备 ,因此 所 有 的 流量 将 被 连接 在 集线器 的 每 个 端口 
上 。Snort 的 主机 网 卡 使 用 了 “混杂 ”模式 ,能 够 获取 所 有 通过 集线器 的 数据 包 。 例 如 ,PC1 
访问 Linux 服务 器 所 发 送 的 数据 包 、 服 务 器 和 客户 平台 通信 的 数据 包 等 。 
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假如 把 这 个 集线器 换 成 交换 机 ,在 交换 环境 下 ,交换 机 能 够 知道 什么 端口 有 什么 样 的 
MAC 地 址 ,并 且 只 发 送 网 络 流量 到 相应 的 端口 。 那 么 即使 Snort 网 卡 工作 在 混杂 模式 ,也 
依然 监听 不 到 其 他 端口 的 流量 。 不 过 现在 交换 机 基本 上 有 镜像 和 监听 的 机 制 , 通 过 复制 流 
量 到 特定 端口 实现 监听 。 当 将 Snort 服务 器 连接 到 这 个 端口 上 就 可 以 监听 所 有 通过 这 个 交 
换 机 的 流量 了 。 


2. 预 处 理 器 


基于 特征 规则 匹配 的 IDS 因为 速度 快 而 受 欢 迎 。 如 果 只 是 对 每 个 包 进 行 数字 和 字符 
串 的 匹配 ,处 理性 能 就 能 适应 快速 的 高 负荷 网 络 。 正 如 在 讲述 检测 方法 分 类 的 时 候 说 过 , 基 
于 特征 的 匹配 容易 产生 漏 报 , 原 因 是 特征 语言 的 表达 能 力 有 限 或 IDS 对 协议 分 析 不 够 。 一 
些 IDS 通过 复杂 的 方法 解决 这 个 问题 ,如 采用 异常 检测 的 方法 。 在 Snort 中 ,采用 预 处 理 的 
方法 完成 这 些 功 能 , 它 超越 了 基于 规则 匹配 的 检测 机 制 。 

预 处 理 器 的 主要 思想 是 在 数据 包 送 到 Snort 主 检测 引擎 之 前 提供 一 个 丢弃 数据 包 、 修 
改 数据 包 的 框架 。 

例如 ,在 图 11-19 中 ,台式 机 PC2 需要 连接 Windows Web 服务 器 ,用 户 通过 浏览 器 输 
人 下 面 的 字符 串 : 


http://10.1.1.251/%73%63%72%69%70%74%73%68%61%63%6B% 6D% 65. %65%78%65 


HTTP 协议 允许 使 用 %XX 符号 表示 的 通用 资源 标识 符 (URI) 来 表示 内 容 , 其 中 xx 是 
字符 的 十 六 进 制 值 。 当 URI 到 达 Web 服务 器 ,被 转换 成 http://10. 1. 1. 252/scripts/ 
hackme. exe。 

Snort 在 收 到 这 个 字符 串 后 ,在 送 到 检测 引擎 之 前 先 将 其 规格 化 , Http 解码 (HTTP_ 
decode) 预 处 理 器 会 将 其 转换 为 标准 格式 ,节约 检测 引擎 的 资源 。 除 了 HTTP 解码 预 处 理 
之 外 ,还 有 telnet_decode 预 处 理 器 ,ftp_decode 预 处 理 器 .rpc_decode 预 处 理 器 等 。 

预 处 理 器 为 模块 化 的 插件 ,可 以 根据 需要 选择 。 例 如 ,采用 RPC 插件 和 端口 扫描 插件 
检查 原始 的 数据 包 。 在 遵循 Snort 规则 的 前 提 下 ,用户 甚 至 可 以 建立 自己 的 预 处 理 器 。 


3. 检测 引擎 和 规则 集 


检测 引擎 是 Snort 的 核心 模块 。 当 数据 包 从 预 处 理 器 送 过 来 后 ,检测 引擎 依据 预先 设 
置 的 规则 检查 数据 包 , 一 旦 发 现 数 据 包 中 的 内 容 和 某 条 

















规则 相 匹配 ,就 通知 报警 模块 ,如 图 11-20 所 示 。 ls 
Snort 作为 基于 特征 的 IDS, 它 的 功能 实现 依赖 于 
各 种 不 同 的 规则 设置, 检测 引擎 依据 规则 匹配 数据 包 。 RE 


Snort 的 规则 很 多 ,并 根据 不 同 的 类 型 (木马 .缓冲 区 洲 























出 、 滥 用 权限 ) 作 了 分 组 。 
规则 由 规则 头 和 规则 体 组 成 ,如 图 11-21 所 示 。 煞 据 包 开 本 > 一 是 日 志 或 报警 
规则 头 : 规则 头 描 述 了 本 条 规则 的 处 理 动作 (记录 

或 者 报警 ) ,数据 包 的 协议 类 型 (TCP .UDP ICMP 等 )， 1 

源 信息 ( 源 地址 , 源 端口 ), 目 的 信息 (目的 地 址 ,目的 a 











端口 ) 。 图 11-20 ”Snort 的 检测 流程 
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规则 头 规则 行为 | 协议 类 型 | 源 信息 | 目的 信息 
规则 体 

















11-21 规则 的 构成 


规则 体 : 规则 体 中 的 各 项 描述 这 条 规则 要 检测 数据 包 中 的 内 容 。 
例如 : 


alert tcp any any->any 12345 (msg:” Test Message”; nocase;) 


这 个 规则 中 ,开头 部 分 为 规则 头 ,规则 行为 为 alert, 表 示 报 警 ; 协议 为 TCP, 源 地 址 和 
端口 为 any, 也 就 是 任何 地 址 、 任 何 端口 ; 目的 地 址 为 any, 目 的 端口 为 12345。 括 号 内 的 为 
规则 体 ,第 一 部 分 是 规则 触发 后 将 显示 的 信息 ; 第 二 部 分 是 nocase 选项 ,说 明 本 规则 检查 
数据 包 内 容 时 不 区 分 大 小 写 。 

检测 引擎 和 规则 集 是 Snort 系统 学 习 和 理解 中 的 难点 。Snort 的 规则 有 自己 独特 的 语 
法 ,涵盖 了 对 协议 类 型 .数据 包 的 数据 段 内 容 、 数 据 包 长 度 、 包 头 内 容 等 多 方面 的 描述 。 规 则 
语法 还 能 定义 异常 情况 ,这 在 检测 缓冲 区 溢出 中 非常 有 用 。 

如 果 使 用 Snort 并 且 学 习 了 如 何 写 Snort 的 规则 ,就 可 以 根据 自己 的 网 络 环境 和 需求 
定制 规则 集 ,使 Snort 更 好 的 工作 。 


4. 报警 /日 志 模块 


经 检测 引擎 检查 后 的 Snort 数据 需要 以 某 种 方式 输出 。 如 果 检 测 引 擎 中 的 某 条 规则 被 匹 
配 , 则 会 触发 一 条 报警 ,这 条 报警 信息 会 通过 网 络 送 给 日 志文 件 ,也 可 以 记 入 SQL 数据 库 。 

另外 ,还 有 专门 为 Snort 开发 的 辅助 工具 ,如 各 种 各 样 基 于 Web 的 报警 信息 显示 插件 。 
一 般 用 Perl 或 PHP 开发 ,目的 是 为 了 更 加 直观 显示 报警 信息 。 与 预 处 理 器 和 检测 引擎 模 
块 一 样 , 报 警 输 出 模块 也 使 用 插件 实现 多 种 输出 功能 ,如 把 报警 信息 送 入 数据 库 或 通过 
SNMP, WinPopup 等 网 络 协议 传送 。 常 用 的 插件 有 ACID、IDSCenter、Swatch 等 。 

图 11-22 所 示 是 一 个 使 用 ACID 插件 通过 浏览 器 了 解 报警 和 统计 信息 的 界面 。 
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图 11-22 ”Snort 的 检测 报告 
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11.25 入 侵 检 测 的 局 限 性 与 发 展 方向 


和 其 他 网 络 安全 防御 系统 一 样 , 入 侵 检 测 系统 也 有 自身 的 局 限 性 。 同 时 ,入 侵 检 测 技术 
也 在 不 断 发 展 中 ,以 适应 不 断 变化 的 网 络 安全 形势 。 


1. 入 侵 检 测 的 局 限 性 


IDS 是 一 种 很 好 的 安全 防护 手段 ,但 绝 不 是 尽善尽美 的 ,也 有 很 多 自身 的 限制 。 在 实时 
监视 网 络 活动 时 ,可 能 会 有 一 些 情况 虽 已 发 现 ,但 是 采取 措施 却 为 时 已 晚 。 

IDS 有 如 此 重大 的 作用 ,但 在 国内 的 应 用 远 远 谈 不 到 普及 ,一 方面 是 由 于 用 户 的 认 知 程 
度 较 低 ; 另 一 方面 是 由 于 入 侵 检测 是 一 门 比 较 新 的 技术 ,还 存在 一 些 技术 上 的 困难 ,不 是 所 有 
厂商 都 有 研发 人 侵 检测 产品 的 实力 。 目 前 的 入 侵 检测 产品 还 存在 着 一 些 非常 现实 的 矛盾 。 

1) 误 报 和 漏 报 的 矛盾 

入 侵 检测 系统 对 网 络 上 所 有 的 数据 进行 分 析 , 如 果 攻 击 者 对 系统 进行 攻击 尝试 ,系统 相 
应 服务 开放 ,只 是 漏洞 已 经 修补 ,那么 ,这 一 次 攻击 是 否 需要 报警 ,就 是 一 个 需要 管理 员 判 断 
的 问题 。 因 为 这 也 代表 了 一 种 攻击 的 企图 。 但 大 量 的 报警 事件 会 分 散 管 理 员 的 精力 ,反而 
无 法 对 真正 的 攻击 做 出 反应 。 和 误 报 相对 应 的 是 漏 报 , 随 着 攻击 的 方法 不 断 更 新 ,入 侵 检 测 
系统 是 否 能 报 出 网 络 中 所 有 的 攻击 也 是 一 个 问题 。 

2) 隐私 和 安全 的 矛盾 

入 侵 检 测 系统 可 以 收 到 网 络 的 所 有 数据 ,同时 可 以 对 其 进行 分 析 和 记录 ,对 网 络 安全 极 
甚 重要。 但 难免 对 用 户 的 隐私 构成 一 定 威胁 ,这 就 要 看 具体 的 人 侵 检 测 产品 是 否 能 提供 相 
应 功能 ,以 供 管理 员 进行 取舍 。 

3) 被 动 分 析 与 主动 发 现 的 矛盾 

入 侵 检 测 系统 是 采取 被 动 监 听 的 方式 发 现 网 络 问题 ,无 法 主动 发 现 网 络 中 的 安全 隐患 
和 故障 。 如 何 解决 这 个 问题 也 是 入 侵 检测 产品 面临 的 难题 。 

4) 海量 信息 与 分 析 代 价 的 矛盾 

随 着 网 络 数据 流量 的 不 断 增 长 ,入侵 检测 产品 能 否 高 效 处 理 网 络 中 的 数据 也 是 衡量 人 
侵 检测 产品 的 重要 依据 。 

5) 功能 性 和 可 管理 性 的 矛盾 

随 着 入 侵 检测 产品 功能 的 增加 ,能 否 在 功能 增加 的 同时 ,不 增 大 管理 的 难度 ? 例如 ,入 
侵 检测 系统 的 所 有 信息 都 储存 在 数据 库 中 ,此 数据 库 能 否 自动 维护 和 备份 而 不 需 管 理 员 的 
干预 ? 另外 ,入 侵 检测 系统 自身 安全 性 如 何 ? 是 否 易于 部 署 ? 采用 何 种 报警 方式 ?也 都 是 
需要 考虑 的 因素 。 

6) 单一 产品 与 复杂 网 络 应 用 的 矛盾 

入 侵 检测 产品 最 初 的 目的 是 为 了 检测 网 络 的 攻击 。 但 仅仅 检测 网 络 中 的 攻击 远 远 无 法 满 
足 目前 复杂 的 网 络 应 用 需求 。 通 常 ,管理 员 难 以 分 清 网 络 问题 是 由 于 攻击 引起 还 是 网 络 故障 
引起 ? 入 侵 检 测 检测 出 的 攻击 事件 又 如 何 处 理 , 可 和 否 和 目前 网 络 中 的 其 他 安全 产品 进行 配合 等 。 


2. 入 盆 检 测 的 发 展 方向 
入 侵 检 测 在 工业 界 和 学 术 界 有 着 不 同 的 发 展 方向 。 
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在 工业 界 ,主要 的 研究 内 容 是 如 何 通过 优化 检测 系统 的 算法 提高 人 侵 检测 系统 的 综合 
性 能 与 处 理 速度 ,以 适应 千 兆 网 络 的 需求 。 

在 学 术 界 , 主 要 通过 引入 各 种 软 计算 方法 ,使 人 侵 检 测 技术 向 智能 化 方向 发 展 。 例 如 ， 
利用 数据 挖掘 技术 代替 人 工 处 理 数据 的 方式 ,帮助 人 们 从 海量 数据 中 挖掘 对 各 类 决策 有 指 
导 意 义 的 一 般 性 知识 。 另 外 还 有 人 工 神经 网 络 , 人 工 免疫 技术 的 应 用 等 。 这 些 方法 可 以 说 
对 IDS 的 发 展 及 完善 起 了 一 定 的 作用 ,但 是 并 没有 完全 解决 问题 。 下 面 对 这 些 方法 作 一 个 
简单 的 介绍 。 

1) 人 工 神经 网 络 技 术 在 入 侵 检测 中 的 应 用 

人 工 神 经 网 络 (artificial neural networks,ANN) 在 入 侵 检测 中 的 应 用 大 约 始 于 20 世纪 
90 年 代 初 期 , 它 以 自 适 应 、 自 学 习 、 自 组 织 、 较 好 的 容错 性 和 和 鲁 棒 性 、 并 行 性 、 联 想 记忆 和 联 
想 映 射 等 优点 而 受到 了 世人 瞩目 ,在 人 侵 检测 领域 发 挥 了 重要 作用 。 

人 工 神经 网 络 在 异常 检测 和 滥用 检测 中 都 有 应 用 ,但 主要 用 于 异常 检测 中 。 

异常 检测 问题 可 以 被 看 作 是 一 个 一 般 的 数据 分 类 问题 ,由 于 基于 统计 的 方法 在 提取 、 抽 
象 审计 实例 时 存在 一 些 问 题 , 如 审计 数据 不 完备 ,必须 依赖 一 些 概率 分 布 假设 ,或 要 赁 经 验 
和 感觉 刻画 用 户 行为 的 度量 。 为 此 引入 人 工 神 经 网 络 , 用 代表 正常 用 户 行为 的 样本 点 训练 
神经 网 络 ,通过 反复 多 次 学 习 , 神 经 网 络 能 从 数据 中 提取 正常 的 用 户 或 系统 活动 的 模式 ,并 
编码 到 网 络 结构 中 ,检测 时 ,将 审计 数据 通过 学 习 好 的 神经 网 络 , 即 可 判定 用 户 的 行为 是 否 
正常 。 

1992 年 Herve 使 用 一 种 再 生 的 神经 网 络 学 习 审计 数据 中 的 时 间 序 列 , 再 生 神经 网 络 部 
分 输出 被 反馈 为 下 一 部 分 的 输入 ,这 在 神经 网 络 内 部 产生 了 对 过 去 的 记忆 。 神 经 网 络 具 有 
长 时 记忆 ,编码 在 连接 中 存储 行为 的 规律 ,还 具有 短 时 记忆 。 但 记忆 能 力 受 限于 神经 元 的 个 
数 和 连接 个 数 。 

神经 网 络 也 有 其 缺点 ,例如 ,在 很 多 情况 下 ,系统 趋向 于 形成 某 种 不 稳定 的 网 络 结构 ,不 
能 从 训练 数据 中 学 习 到 特定 的 知识 ,这 种 情况 目前 尚 不 能 完全 确定 产生 的 原因 。 而 且 , 它 在 
训练 过 程 中 ,要 求 有 足够 丰富 的 训练 样本 集 ,而 在 实际 环境 中 ,难以 得 到 (甚至 根本 不 可 能 得 
到 ) 足 够 丰富 的 实测 样本 ,因此 难以 训练 出 有 较 高 识别 率 的 网 络 。 另 外 ,神经 网 络 对 判断 为 
异常 的 事件 不 会 提供 任何 解释 或 说 明 信 息 , 这 导致 了 用 户 无 法 确认 入 侵 的 责任 人 ,也 无 法 判 
定 究竟 是 系统 哪 方面 存在 的 问题 导致 了 攻击 者 得 以 成 功 的 入侵 。 巾 于 这 些 缺 点 的 存在 , 神 
经 网 络 在 入 侵 检测 系统 中 的 应 用 近年 来 一 直 没 有 得 到 突破 性 进展 。 

2) 人 工 免 疫 技术 在 人 侵 检测 中 的 应 用 

由 生物 引发 的 信息 处 理 技术 包括 人 工 神经 网 络 、. 进 化 计算 和 人 工 免疫 系统 。 人 工 免疫 
系统 受到 生物 免疫 系统 的 启发 ,发 展 了 一 套 基于 自然 防御 机 理 的 学 习 技术 。 生 物 免疫 系统 
担当 着 与 人 侵 检测 系统 相 类 似 的 作用 .前 者 保护 身体 免 受 病毒 的 侵害 而 后 者 防止 计算 机 遭 
到 病毒 .人 侵 的 攻击 。 所 以 将 人 工 免疫 技术 的 一 些 机 理应 用 到 入 侵 检测 中 是 很 正常 的 。 

处 于 网 络 环境 中 的 主机 之 所 以 受到 入 侵 ,是 因为 主机 系统 本 身 以 及 所 运行 的 应 用 程序 
存在 着 各 种 脆弱 性 因素 ,网络 攻 击 者 正 是 利用 这 些 漏 洞 侵入 到 主机 系统 中 的 。 生 物体 拥有 
免疫 系统 来 负责 检测 和 抵御 入 侵 , 免 疫 机 制 包括 特异 性 免疫 和 非特 异性 免疫 。 特 异性 免疫 
针对 特定 的 某 种 病毒 ,非特 异性 免疫 可 用 于 检测 和 抵制 以 前 从 未 见 过 的 入 侵 类 型 。 

最 早 将 人 工 免疫 的 一 些 思 想 引 入 入 侵 检测 系统 的 是 Forrest, 她 为 人 侵 检测 提供 了 以 下 
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思路 , 即 通过 对 正常 行为 的 学 习 识 别 不 符合 常态 的 行为 序列 。 

当 系 统 的 一 个 关键 程序 投入 使 用 后 , 它 的 运行 情况 一 般 变化 不 大 ,与 系统 用 户 行为 的 易 
变性 相 比 , 具 有 相对 的 稳定 性 。 因 而 ,可 以 利用 系统 进程 正常 执行 轨迹 中 的 系统 调用 短 序 列 
集 ,构建 系统 进程 正常 执行 活动 的 特征 轮廓 。 由 于 在 利用 这 些 关键 程序 的 缺陷 进行 攻击 时 ， 
对 应 的 进程 必然 执行 一 些 不 同 于 正常 执行 时 的 代码 分 支 ,因而 就 会 出 现 关 键 程序 特征 轮廓 
中 没有 的 系统 调用 短 序列 。 当 检测 到 特征 轮廓 中 不 存在 的 系统 调用 序列 的 量 达到 某 一 条 件 
时 ,就 认为 被 监控 的 进程 正 企图 攻击 系统 。 

但 是 ,应 用 免疫 技术 ,必须 获得 程序 运行 的 所 有 情况 的 执行 轨迹 ,这 样 才能 使 得 到 的 程 
序 特征 轮廓 很 好 的 刻画 程序 的 特征 ,从 而 具有 很 低 的 误 警 率 。 但 是 ,要 达到 这 个 要 求 还 有 一 
定 的 难度 。 另 外 ,用 这 种 方法 检测 不 出 那些 能 够 利用 程序 合法 活动 获取 非 授 权 存 取 的 攻击 。 
这 项 技术 还 需要 进一步 的 研究 。 

3) 数据 挖掘 技术 在 入 侵 检测 中 的 应 用 

数据 挖掘 是 从 存放 在 数据 库 ` 数 据 仓 库 或 其 他 信息 库 中 的 大 量 数据 中 挖掘 所 需 知识 的 
过 程 , 通 常 被 视 为 知识 发 现 的 一 个 基本 步骤 。 

1995 年 ,在 加 拿 大 召开 的 第 一 届 知 识 发 现 和 数据 挖掘 国际 学 术 会 议 后 ,数据 挖掘 开始 
流行 。 数 据 挖掘 是 知识 发 现 概念 的 深化 ,是 人 工 智 能 、 机 器 学 习 与 数据 库 相 结合 的 产物 。 它 
是 一 项 通用 的 技术 ,其 本 身 的 技术 含量 完全 体现 在 算法 上 。 

将 数据 挖掘 技术 应 用 于 入 侵 检 测 中 ,目的 在 于 对 海量 的 安全 审计 数据 进行 智能 化 的 处 
理 , 提 取出 和 人 侵 检测 感 兴趣 的 内 容 。 目 前 主要 有 两 个 方向 : 一 是 发 现 人 侵 的 规则 、 模 式 , 与 
模式 匹配 检测 方法 相 结合 ; 二 是 用 于 异常 检测 , 找 出 用 户 的 正常 行为 ,创建 用 户 的 正常 行 
为 库 。 

在 这 个 研究 方向 上 ,比较 有 代表 性 的 是 美国 哥伦比亚 大 学 入 侵 检 测 研究 小 组 提出 的 基 
于 数据 挖掘 的 实时 入 侵 检 测 技 术 。 其 主要 思想 是 提取 描述 网 络 连接 和 主机 会 话 的 特征 值 ， 
用 数据 挖掘 程序 产生 某 些 规 则 ,利用 它 能 准确 捕捉 到 入 侵 模 式 或 正常 活动 轮廓 。 这 些 规则 
以 后 可 以 用 于 滥用 检测 和 异常 检测 。 这 种 方法 使 人 们 无 需 用 手工 分 析 和 编码 入 侵 行 为 ,使 
和 信 侵 检测 系统 的 更 新 和 扩展 变 得 简单 易 行 ,也 避免 了 早期 基于 统计 异常 检测 那样 猜测 性 的 
选择 在 建立 正常 使 用 轮廓 时 所 需要 的 统计 度量 。 他 们 给 出 了 特别 适用 于 挖掘 审计 数据 的 算 
法 : 即 分 类 算法 .关联 分 析 和 序列 分 析 。 

在 实验 部 分 ,他 们 用 使 用 RIPPER 分 类 算法 研究 了 系统 调用 数据 的 采样 ,用 一 个 较 小 
的 规则 集合 描述 正常 数据 的 模式 特征 ,在 监控 时 ,违反 这 些 特征 的 序列 被 视 为 异常 。 
RIPPER 是 一 个 规则 学 习 系统 ,主要 用 于 分 类 问题 ,给 定 足 够 的 样本 ,能 够 自动 提取 样本 中 
蕴涵 的 规则 。 

从 他 们 的 实验 和 测试 表明 ,将 数据 挖掘 技术 应 用 于 入 侵 检 测 在 理论 上 是 可 行 的 ,在 技术 
上 建立 这 样 一 套 系统 是 可 能 的 。 





11.3 入 侵 防 御 系 统 


入 侵 防 御 系 统 (intrusion prevention system，IPS) 是 2000 年 之 后 出 现 的 一 种 新 的 安全 
技术 。 与 大 多 数 IDS 系统 的 被 动工 作 方 式 不 同 , 入 侵 防护 系统 倾向 于 提供 主动 防护 ,其 设 
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计 宗 旨 是 预先 对 入 侵 活动 和 攻击 性 网 络 流量 进行 拦截 ,避免 其 造成 损失 ,不 是 简单 地 在 恶意 
流量 传送 时 或 传送 后 才 发 出 警报 。 


11.31 入 侵 防 御 系 统 概述 


1. 入 侵 防 御 系 统 的 产生 


防火 墙 和 入 侵 检 测 系统 的 应 用 为 网 络 安全 提供 了 基本 的 安全 防护 ,从 应 用 实际 来 看 , 仍 
然 有 一 些 无 法 解决 的 问题 ,这 是 由 它们 各 自 的 局 限 性 决定 的 。 

对 于 防火 墙 来 说 , 它 被 串 行 部 署 在 网 络 进 / 出 口 处 ,对 进出 的 所 有 数据 流 进行 检查 和 过 
滤 。 因 此 , 它 的 性 能 大 小 会 对 网 络 知 吐 量 有 极 大 的 影响 。 尽 管 许多 防火 墙 具备 在 应 用 层 工 
作 的 能 力 , 但 对 于 一 个 网 络 流 量 较 大 的 网 络 而 言 ,如 果 防 火 墙 在 应 用 层 进行 过 滤 , 往 往 会 因 
为 巨大 的 处 理 需求 而 使 得 防火 墙 成 为 网 络 的 瓶颈 。 因 此 ,防火 墙 的 应 用 主要 还 是 以 低层 包 
过 滤 为 主 。 这 时 ,防火 墙 就 对 应 用 层 的 深层 攻击 行为 无 能 为 力 了 。 

对 于 IDS 来 说 , 它 被 旁 路 部 署 在 网 络 内 部 ,作为 防火 墙 的 有 益 补充 ,能 够 及 时 发 现 那些 
穿 透 防火 墙 的 深层 攻击 行为 。 但 正 是 由 于 它 是 旁 路 部 署 ,所 以 它 无 法 对 这 些 深 层 攻 击 进行 
实时 的 阻 断 。 

这 就 很 自然 的 引导 出 一 个 思路 : IDS 和 防火 墙 联动 。 也 就 是 说 通过 IDS 发 现 攻击 , 然 
后 通知 防火 墙 来 阻 断 攻击 。 由 于 迄今 为 止 没 有 统一 的 接口 规范 ,加 上 越 来 越 频 发 的 “瞬间 攻 
击 ”( 一 个 会 话 就 可 以 达成 攻击 效果 ,如 SQL 注入 、 洲 出 攻击 等 ), 使 得 IDS 与 防火 墙 联动 在 
实际 应 用 中 的 效果 并 不 显著 。 

所 以 就 有 了 一 个 新 的 想法 ,即将 IDS 的 深层 分 析 能 力 和 防火 墙 的 在 线 部 署 功能 结合 
来 ,形成 一 个 新 的 安全 产品 ,这 就 是 IPS 产品 的 起 源 : 一 种 能 防御 防火 墙 所 不 能 防御 的 深层 
入 侵 威 胁 ( 入 侵 检 测 ) 的 在 线 部 署 (防火 墙 方式 ) 安 全 产品 。 

在 2000 年 ,Network ICE 公司 首次 提出 了 IPS 这 个 概念 .并 于 同年 的 9 月 18 日 推出 了 
BlackICE Guard。 它 仍然 用 到 了 入 侵 检测 技术 ,但 相对 于 传统 的 IDS, 最 大 的 区 别 在 于 它 是 
一 个 串 行 部 署 的 IDS, 直 接 分 析 网 络 数据 并 实时 对 恶意 数据 进行 丢弃 处 理 。 这 种 概念 一 直 
受到 质疑 , 自 2002 年 IPS 概念 传人 国内 起 ,IPS 这 个 新 型 的 产品 形态 就 不 断 地 受到 挑战 ,而 
且 各 大 安全 厂商 ,客户 都 没有 表现 出 对 IPS 的 兴趣 ,普遍 的 一 个 观点 是 : 在 IDS 基础 上 发 展 
起 来 的 IPS 产品 ,在 没 能 解决 IDS 固有 问题 的 前 提 下 ,是 无 法 得 到 推广 应 用 的 。 这 个 固有 
问题 就 是 “ 误 报 ”。IDS 的 用 户 常常 会 有 这 种 苦恼 : IDS 界面 上 充斥 着 大 量 的 报警 信息 ,经 过 
安全 专家 分 析 后 ,被 告知 这 是 误 警 。 但 在 IDS 旁 路 检测 的 部 署 形式 下 ,这 些 误 警 对 正常 业 
务 不 会 造成 影响 , 仅 需要 花费 资源 去 做 人 工分 析 。 而 串 行 部 署 的 IPS 就 完全 不 一 样 了 ,一 旦 
出 现 了 误 报 或 小报 ,触发 了 主动 的 阻 断 响应 ,用 户 的 正常 业务 就 有 可 能 受到 影响 ,这 是 所 有 
用 户 都 不 愿意 看 到 和 接受 的 。 正 是 这 个 原因 ,导致 了 IPS 概念 在 2005 年 之 前 的 国内 市 场 表 
现 平淡 。 

自 2006 年 起 ,大 量 的 国外 厂商 的 IPS 产品 进入 国内 市 场 ,各 本 土 厂商 和 用 户 都 开始 重 
新 关注 起 IPS 这 一 并 不 新 鲜 的 “新 "概念 ,并 推出 了 相应 的 IPS 产品 。 
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2. 入 侵 防 御 系统 与 入 侵 检测 系统 的 区 别 


准确 地 讲 ,IPS 与 IDS 都 基于 检测 技术 ,但 前 者 是 通过 检测 防护 、 后 者 是 基于 检测 监控 ， 
两 者 在 安全 工作 中 发 挥 着 不 同 的 作用 。IPS 和 IDS 之 间 的 区 别 主要 在 于 以 下 几 点 : 

1) 使 用 方式 不 同 

IPS 是 串 行 链 路 安装 ,是 网 关 控制 类 产品 ,只 关注 串 行 线路 上 的 入 侵 防 御 。IDS 是 旁 路 
安装 ,是 安全 检测 ,监控 分 析 类 产品 ,检测 与 关联 的 面 更 广 ,帮助 用 户 发 现 .了 解 、 统 计 、 分 析 
入 侵 威胁 状况 ; 前 者 重 控制 ,后 者 重 管理 。 两 者 在 使 用 方式 上 的 区 别 如 图 11-23 所 示 。 








(a) IDS 旁 路 并 联 
Com) IPS 防火 墙 路 由 器 
(b) IPS 链 路 串联 


11-23 IPS 和 IDS 不 同 的 使 用 方式 


2) 设计 思路 不 同 

由 于 IPS 在 线 工作 , 相 比 IDS 而 言 ,IPS 增加 数据 转发 环节 ,这 对 系统 资源 是 一 个 新 消 
耗 。 要 保障 IPS 数据 处 理 效 率 ,IPS 必须 与 IDS 资源 分 配 重心 不 同 ,为 了 降低 在 线 等 待 时 
间 ,IPS 事件 响应 机 制 要 比 IDS 更 精确 更 迅速 , 误 报 率 高 .响应 慢 的 事件 在 IPS 没有 存在 的 
意义 。 同 时 IPS 中 统计 分 析 、 报 表 呈 现 等 管理 特性 为 提升 效率 也 必须 做 出 一 定 的 让 步 。 

3) 发 展 目标 不 同 

IPS 重 在 深层 防御 ,追求 精确 阻 断 , 是 防御 入 侵 的 最 佳 方案 。 它 弥补 防火 墙 或 IDS 对 入 
侵 数据 实时 阻 断 效果 的 不 足 。 在 提升 性 能 效率 的 同时 ,必须 不 断 的 追求 精确 识别 攻击 的 能 
力 、 抗 躲避 能 力 ,没有 误 阻 断 的 深层 防御 才 算 有 效 , 和 否则 防御 的 代价 就 是 影响 正常 业务 。 
IDS 重 在 全 面 检测 ,追求 有 效 呈 现 , 是 了 解 入 侵 状 况 的 最 佳 方案 ,会 长 期 存在 且 不 断 发 展 。 
IDS 除了 完善 人 侵 行 为 识别 全 面 性 以 外 ,还 要 通过 统计 数据 分 析 、 多 维 报表 呈现 等 管理 特 
性 ,更 加 直观 的 让 用 户 了 解 入 侵 威胁 状况 和 趋势 ,以 便 支撑 治理 入 侵 的 最 佳 思路 。 





11.32 入 侵 防 御 系 统 的 原理 


IPS 通过 串联 部 署 和 深层 检测 ,与 其 他 安全 产品 形成 了 功能 互补 的 关系 。 
1. 入 侵 防御 系统 与 其 他 安全 产品 的 关系 


从 表面 上 来 看 ,IPS 似乎 就 是 防火 墙 和 IDS 的 结合 。 从 功能 上 来 看 ,IPS 恰恰 完成 的 是 
防火 墙 和 IDS 都 无 法 完成 的 功能 : 深层 检测 (防火 墙 无 法 完成 的 功能 ) 和 在 线 响 应 (IDS 无 
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法 完成 的 功能 ) 。 当 然 ,IPS 也 并 不 能 够 替代 防火 墙 和 IDS。 
防火 墙 是 粒度 比较 粗 的 访问 控制 产品 ,在 基于 TCP/IP 协议 的 过 滤 方 面 表现 出 色 ,而 且 
在 大 多 数 情况 下 ,可 以 提供 网 络 地 址 转换 、 服 务 代理 流量 统计 等 功能 ,有 的 防火 墙 还 能 提供 
VPN 功能 。 和 防火 墙 比较 起 来 ,IPS 的 功能 比较 单一 ,只 能 串联 在 网 络 上 (类 似 于 通常 所 说 
的 网 桥 式 防火 墙 ) ,对 防火 墙 所 不 能 过 滤 的 攻击 进行 过 滤 。 这 样 ,防火 墙 和 IPS 构成 了 一 
两 级 的 过 滤 模 式 ,可 以 最 大 地 保证 系统 的 安全 ,如 图 11-24 所 示 。 
民 


DNS 服务 器 ” Web 服务 器 


明 电 

















恶意 的 应 用 访问 


Internet 
































应 用 层 DoSIDDoS 中 应 用 服务 器 数据 库 服务 器 
[Tag 
未 开放 的 服务 /| 本 
邮件 服务 器 FTP 服务 器 


防火 墙 IPS 
11-24 IPS 与 防火 墙 相 互补 充 


入 侵 检测 系统 则 可 以 和 其 他 审计 跟踪 产品 结合 ,提供 针对 企业 信息 资源 全 面 的 审计 资料 ， 
这 些 资料 对 于 攻击 还 原 `, 入 侵 取证 .异常 事件 识别 .网 络 故障 排除 等 都 有 很 重要 的 作用 。 

IPS 的 检测 功能 类 似 于 IDS,IPS 检测 到 攻击 后 会 采取 行动 阻止 攻击 ,可 以 说 IPS 是 基 
于 IDS 且 建 立 在 IDS 发 展 的 基础 上 的 新 生 网 络 安全 产品 。 

可 以 看 出 ,防火 墙 \IDS 和 IPS 都 具有 各 自 特殊 的 功能 ,彼此 之 间 相 互补 充 , 不 可 替代 。 


2. IPS 的 基本 原理 


IPS 直接 嵌入 到 网 络 流量 中 ,通过 一 个 网 络 端口 接收 来 自 外 部 系统 的 流量 ,经 过 检查 确 
认 其 中 不 包含 异常 活动 或 可 疑 内 容 后 ,再 通过 另外 一 个 端口 将 它 传送 到 内 部 系统 中 。 这 样 一 
来 ,有 问题 的 数据 包 , 以 及 所 有 来 自 同 一 数据 流 的 后 续 数 据 包 ,都 能 在 IPS 设备 中 被 清除 掉 。 
IPS 的 主要 工作 由 IPS 引擎 完成 ,其 基本 工作 原理 如 图 11-25 所 示 。 




























































































IPS 引 敬 大 规模 并 行 深层 检查 ASIC 
一 | 过 滤器 ! | 一 =《 命中? ) 一 
数据 流 ~| 过 滤器 2 | ~( 命中 ? ) 
下 4HO] 2 加 
-一 -| 过 党 品 | ~( 命中 ) 
丢弃 流 状态 信息 





























图 11-25 IPS 工 作 原 理 
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当 数 据 流 进入 IPS 引擎 之 后 ,首先 根据 数据 包 首 部 信息 和 流 信息 对 每 个 数据 包 进 行 初 
步 的 检查 ,对 通过 检查 的 数据 包 进 行 分 类 (步骤 中 ) ,并 记录 数据 流 的 状态 信息 。IPS 可 以 做 
到 逐一 字 节 地 检查 数据 包 。 所 有 流 经 IPS 的 数据 包 都 被 分 类 ,分 类 的 依据 是 数据 包 中 的 报 
头 信息 ,如 源 IP 地 址 和 目的 IP 地 址 、 端 口号 和 应 用 域 。 通 过 检查 的 数据 包 可 以 继续 前 进 ， 
包含 恶意 内 容 的 数据 包 就 会 被 丢弃 ,被 怀疑 的 数据 包 需 要 接受 进一步 的 检查 。 

IPS 实现 实时 检查 和 阻止 入 侵 的 原理 在 于 IPS 拥有 数目 众多 的 过 滤器 ,能 够 防止 各 种 
攻击 。 根 据 数据 包 的 分 类 ,相关 的 过 滤器 将 会 被 用 于 检查 数据 包 的 流 状 态 信息 (步骤 四 )。 
针对 不 同 的 攻击 行为 ,IPS 需要 不 同 的 过 滤器 。 每 种 过 滤器 都 设 有 相应 的 过 滤 规 则 ,为 了 确 
保 准 确 性 ,这 些 规则 的 定义 非常 广泛 。 在 对 传输 内 容 进 行 分 类 时 ,过 滤 引 擎 还 需要 参照 数据 
包 的 信息 参数 ,并 将 其 解析 至 一 个 有 意义 的 域 中 进行 上 下 文 分 析 , 深 层 检 查 数据 包 的 内 容 ， 
以 提高 过 滤 准 确 性 。 当 新 的 攻击 手段 被 发 现 之 后 ,IPS 就 会 创建 一 个 新 的 过 滤器 。 为 了 保 
证 IPS 的 处 理性 能 ,过 滤器 引擎 集合 了 流水 和 大 规模 并 行 处 理 硬件 ,能够 同时 执行 数 千 次 的 
数据 包 过 滤 检 查 。 并 行 过 滤 处 理 可 以 确保 数据 包 能 够 不 间断 地 快速 通过 系统 ,不 会 对 速度 
造成 影响 。 这 种 硬件 加 速 技 术 对 于 IPS 具有 重要 意义 ,因为 传统 的 软件 解决 方案 必须 串 行 
进行 过 滤 检 查 ,会 导致 系统 性 能 大 打折 扣 。 

所 有 相关 过 滤器 都 是 并 行使 用 的 ,如 果 任 何 数据 包 符合 匹配 条 件 , 则 该 数据 包 被 标定 为 
“命中 (步骤 四) 。 

最 后 ,被 标定 为 “命中 ”的 数据 包 将 被 丢弃 ,与 之 相关 的 流 状态 信息 也 会 更 新 ,指示 系统 
丢弃 该 流 中 其 余 的 所 有 内 容 ( 步 又 @)。 


3. IPS 的 技术 特征 


IPS 的 技术 特征 可 以 归纳 为 如 下 几 点 : 

(1) 能 入 式 运行 。 只 有 以 嵌入 模式 运行 的 IPS 设备 才能 够 实现 实时 的 安全 防护 ,实时 
阻拦 所 有 可 疑 的 数据 包 ,并 对 该 数据 流 的 剩余 部 分 进行 拦截 。 

(2) 深入 分 析 和 控制 IPS。 必 须 具 有 深入 分 析 能 力 , 以 确定 哪些 恶意 流量 已 经 被 拦截 ， 
根据 攻击 类 型 .策略 等 确定 哪些 流量 应 该 被 拦截 。 

(3) 入 侵 特征 库 。 高 质量 的 人 侵 特征 库 是 IPS 高 效 运行 的 必要 条 件 ,IPS 还 应 该 定期 
升级 入 侵 特征 库 ,并 快速 应 用 到 所 有 传感器 。 

(4) 高 效 处 理 能 力 。IPS 必须 具有 高 效 处 理 数 据 包 的 能 力 , 对 整个 网 络 性 能 的 影响 保 
持 在 最 低 水 平 。 


11.33 IPS 的 分 类 


根据 IPS 的 应 用 场合 不 同 , 将 IPS 划分 为 基于 主机 的 入 侵 防御 系统 、 基 于 网 络 的 入 侵 防 
御 系 统 和 基于 应 用 的 入 侵 防 御 系 统 (AIPS)。 


1. 基于 主机 的 入 侵 防御 系统 





基于 主机 的 入 侵 防御 系统 (HIPS) 通 过 在 主机 /服务 器 上 安装 软件 代理 程序 ,防止 网 络 
攻击 操作 系统 及 应 用 程序 。HIPS 能 够 保护 服务 器 的 安全 弱点 不 被 黑客 所 利用 。Cisco 公 
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司 的 Okena、NAI 公司 的 McAfee Entercept、 冠 群 金 展 的 龙 渊 服务 器 核心 防护 都 属于 这 类 
产品 。HIPS 可 以 根据 自 定义 的 安全 策略 以 及 分 析 学 习 机 制 阻 断 对 服务 器 、 主 机 发 起 的 恶 
意 人 侵 , 包 括 缓冲 区 溢出 ,改变 登录 密码 ,改写 动态 链接 库 以 及 其 他 试图 从 操作 系统 夺取 控 
制 权 的 入侵 行 为 ,整体 提升 主机 的 安全 水 平 。 

在 技术 上 ,HIPS 采用 独特 的 服务 器 保护 途径 ,利用 由 包 过 滤 、 状 态 包 检测 和 实时 人 侵 
检测 组 成 分 层 防 护 体系 。 这 种 体系 能 够 在 提供 合理 吞吐 率 的 前 提 下 ,最 大 限度 地 保护 服务 
器 的 敏感 内 容 , 既 以 软件 形式 嵌入 到 应 用 程序 对 操作 系统 的 调用 当中 ,通过 拦截 针对 操作 系 
统 的 可 疑 调用 ,提供 对 主机 的 安全 防护 ,也 可 以 以 更 改 操作 系统 内 核 程 序 的 方式 ,提供 比 操 
作 系 统 更 加 严谨 的 安全 控制 机 制 。 

由 于 HIPS 工作 在 受 保护 的 主机 /服务 器 上 ,不 但 能 够 利用 特征 和 行为 规则 检测 ,阻止 
诸如 缓冲 区 溢出 之 类 的 已 知 攻击 ,还 能 够 防范 未 知 攻击 ,防止 针对 Web 页 面 \ 应 用 和 资源 的 
未 授权 的 任何 非法 访问 。HIPS 与 具体 的 主机 /服务 器 操作 系统 平台 紧密 相关 ,不 同 的 平台 
需要 不 同 的 软件 代理 程序 。 


2. 基于 网 络 的 入 侵 防御 系统 


基于 网 络 的 入侵 防御 系统 (NIPS) 通 过 检测 流 经 的 网 络 流量 ,提供 对 网 络 系统 的 安全 保 
护 。 由 于 它 采 用 在 线 连接 方式 ,所 以 一 旦 辨识 出 入侵 行为 ,NIPS 就 可 以 去 除 整个 网 络 会 话 , 而 
不 仅仅 是 复位 会 话 。 同 样 由 于 实时 在 线 ,NIPS 需要 具备 很 高 的 性 能 ,以 免 成 为 网 络 的 瓶颈 , 因 
此 NIPS 通常 被 设计 成 类 似 于 交换 机 的 网 络 设备 ,提供 线 速 知 吐 速率 以 及 多 个 网 络 端 口 。 

NIPS 必须 基于 特定 的 硬件 平台 .才能 实现 千 兆 级 网 络 流量 的 深度 数据 包 检测 和 阻 断 
功能 。 这 种 特定 的 硬件 平台 通常 可 以 分 为 三 类 : 网 络 处 理 器 (网 络 芯片 )、 用 的 FPGA 编程 
芯片 和 专用 的 ASIC 芯 

在 技术 上 ,NIPS 吸取 了 目前 NIDS 所 有 的 成 熟 技 术 , 包 括 特征 匹配 协议 分 析 和 异常 检 
测 。 特 征 匹配 是 最 广泛 应 用 的 技术 ,具有 准确 率 高 .速度 快 的 特点 。 基 于 状态 的 特征 匹配 不 
但 检测 攻击 行为 的 特征 ,还 要 检查 当前 网 络 的 会 话 状 态 ,避免 受到 欺骗 攻击 。 


3. 应 用 入 侵 防御 系统 


基于 应 用 的 入侵 防御 系统 (AIPS) 是 NIPS 的 一 个 特例 ,把 基于 主机 的 入侵 防御 扩展 成 
为 位 于 应 用 服务 器 之 前 的 网 络 设备 。AIPS 被 设计 成 一 种 高 性 能 的 设备 ,配置 在 应 用 数据 
的 网 络 链 路 上 ,以 确保 用 户 遵守 设 定 好 的 安全 策略 ,保护 服务 器 的 安全 。NIPS 工作 在 网 络 
上 ,直接 对 数据 包 进 行 检测 和 阻 断 .与 具体 的 主机 /服务 器 操作 系统 平台 无 关 。 

NIPS 的 实时 检测 与 阻 断 功能 很 有 可 能 出 现在 未 来 的 交换 机 上 。 随 着 处 理 器 性 能 的 提 
高 ,每 一 层次 的 交换 机 都 有 可 能 集成 人 侵 防护 功能 。 





11.34 IPS 的 局 限 性 


和 其 他 安全 产品 一 样 ,IPS 具有 其 特有 的 功能 .但 也 有 其 局 限 性 ,尤其 在 设计 、 配 置 和 管 
理 不 当时 ,其 局 限 性 则 表现 得 更 加 突出 。IPS 的 局 限 性 主要 在 于 以 下 三 点 。 
(1) 单 点 故障 。IPS 必须 以 嵌入 模式 工作 在 网 络 中 ,这 就 可 能 造成 瓶颈 问题 或 单 点 故 
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障 。 如 果 IDS 出 现 故 障 , 最 坏 的 情况 也 就 是 造成 某 些 攻击 无 法 被 检测 到 ,嵌入 式 的 IPS 设 
备 出 现 问题 ,就 会 严重 影响 网 络 的 正常 运转 。 如 果 IPS 出 现 故 障 而 关闭 ,用 户 就 会 面 对 一 个 
由 IPS 造成 的 拒绝 服务 问题 ,所 有 客户 都 将 无 法 访问 企业 网 络 提供 的 应 用 。 因 此 ,在 很 多 安 
全 解决 方案 中 ,IPS 采用 双 机 备份 元 余 配置 。 

(2) 性 能 瓶颈 。 和 防火 墙 一 样 ,IPS 是 一 个 潜在 的 网 络 瓶 颈 。 它 不 仅 会 增加 滞后 时 间 ， 
而 且 会 降低 网 络 的 效率 。IPS 必须 与 数 千 兆 或 更 大 容量 的 网 络 流量 保持 同步 ,尤其 是 当 加 
载 了 数量 庞大 的 检测 特征 库 时 ,设计 不 够 完善 的 IPS 嵌入 设备 无 法 支持 这 种 响应 速度 。 绝 
大 多 数 高 端 IPS 产品 供应 商都 通过 使 用 自 定义 硬件 (FPGA、 网 络 处 理 器 和 ASIC 芯片 ) 来 
提高 IPS 的 运行 效率 。 

(3) 误 报 率 和 漏 报 率 。 在 繁忙 的 网 络 当 中 ,如 果 以 每 秒 需要 处 理 10 条 警报 信息 计算 ， 
IPS 每 小 时 至 少 需要 处 理 36 000 条 警报 ,一 天 就 是 864 000 条 。 一 旦 生成 了 警报 ,最 基本 的 
要 求 就 是 IPS 能 够 对 警报 进行 有 效 处 理 。 如 果 入 侵 特征 编写 得 不 是 十 分 完善 ,那么 “ 误 报 ” 
就 有 了 可 乘 之 机 ,导致 合法 流量 也 有 可 能 被 意外 拦截 。 对 于 实时 在 线 的 IPS 来 说 ,一 旦 拦截 
了 “攻击 性 ”数据 包 , 就 会 对 来 自 可 疑 攻击 者 的 所 有 数据 流 进行 拦截 。 如 果 触 发 了 误 报警 报 
的 流量 恰好 是 合法 用 户 数据 的 一 部 分 ,那么 这 个 用 户 的 整个 会 话 就 会 被 关闭 ,而 且 此 后 该 用 
户 所 有 重新 连接 到 内 部 网 络 的 合法 访问 都 会 被 IPS 拦截 。 

当然 ,IPS 的 局 限 性 并 不 会 成 为 阻止 人 们 使 用 IPS 的 理由 ,因为 安全 功能 的 融合 是 大 势 
所 趋 , 入 侵 防 御 顺 应 了 这 一 潮流 。 对 于 用 户 而 言 , 在 厂商 提供 技术 支持 的 条 件 下 ,有 选择 地 
采用 IPS, 仍 不 失 为 一 种 应 对 攻击 的 理想 选择 。 


114 统一 威胁 管理 UTM 


统一 威胁 管理 (unified threat management,UTM) 是 2002 年 后 出 现 的 一 种 新 的 信息 安 
全 概念 以 及 在 这 一 新 概念 下 所 设计 出 的 安全 产品 。 从 硬件 上 看 , 它 通常 是 一 台 集 成 了 防火 
墙 \IDS、VPN、 防 病毒 网 关 等 相关 功能 的 安全 设备 。 近 几 年 来 ,UTM 发 展 十 分 迅速 ,在 信息 
安全 市 场 上 的 份额 逐年 提高 ,成 为 信息 安全 领域 的 新 宠 。 


11.41 UTM 概 述 


1. UTM 的 产生 


UTM 的 概念 最 早出 现在 2002 年 。 当 时 黑客 们 日 益 聚焦 于 混合 型 的 威胁 ,结合 各 种 有 
害 代码 探测 和 攻击 系统 漏洞 。 这 些 混 合 攻击 分 别 绕 过 现 有 的 安全 节点 ,如 独立 的 VPN 、 防 
火 墙 和 防毒 产品 ,形成 各 种 形态 持续 的 攻击 流 。 脆 弱点 .配置 错误 和 缺乏 管理 等 问题 更 使 实 
现 安全 增加 难度 。 

为 了 满足 用 户 对 防火 墙 IDS、VPN、 反 病毒 等 产品 的 集中 部 署 与 管理 需求 ,一 些 安全 厂 
商 提出 将 多 种 安全 技术 整合 在 同一 个 产品 当中 ,这 便 是 UTM 的 雏形 。2004 年 9 月 美国 著 
名 的 国际 数据 公司 (International Data Corporation, IDC) 正 式 提出 UTM 的 概念 ,将 防 病 
毒 、 和 人 侵 检 测 与 防御 、 防 火 墙 等 结合 于 一 体 的 安全 设备 命名 为 统一 威胁 管理 。 
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应 该 说 ,UTM 的 产生 和 发 展 有 一 定 必然 性 ,这 可 以 从 两 个 方面 来 看 : 

(1) 其 他 设备 的 不 足 。 当 前 的 防火 墙 不 能 满足 更 加 复杂 要 求 的 检测 能 力 , 如 对 于 病毒 
的 检测 、 对 于 攻击 的 检测 等 ; 当前 的 IDS 设备 不 能 完成 实施 阻 断 ,客户 希望 不 要 仅仅 报警 还 
要 帮助 自动 解决 问题 ; IPS 在 性 能 上 也 还 有 许多 局 限 性 。 如 果 用 户 购 买 众多 的 安全 网 关 ， 
比如 防 病毒 网 关 , 垃 圾 邮件 网 关 、 防 拒绝 服务 攻击 网 关 、 内 容 过 滤 网 关 等 ,再 加 上 路 由 器 和 防 
火 墙 这 样 的 网 关 ,整个 安全 防御 系统 就 显得 十 分 腾 肿 和 繁杂 。 多 功能 集成 在 一 起 的 综合 型 
网 关 成 为 市 场 需求 。 

(2) UTM 确实 能 够 带 来 价值 。UTM 降低 了 安装 和 维护 的 复杂 度 , 这 些 设 备 通常 都 是 
即 插 即 用 的 黑 盒 子 , 相 关 的 安装 .维护 工作 量 会 减少 。 如 果 出 现 问题 ,可 以 直接 通过 设备 蔡 换 
来 解决 问题 。 另 外 ,UTM 能 够 实现 “无 干预 运行。 由 于 设备 在 运行 中 ,主要 是 自动 实现 阻 断 、 
过 滤 等 动作 ,一 般 不 需要 人 工 干预 ,不 用 像 面 对 IDS、 审 计 系 统 等 那样 需要 人 工 的 分 析 决 策 。 


2. UTM 的 定义 


IDC 对 统一 威胁 管理 安全 设备 的 定义 是 由 硬件 、 软 件 和 网 络 技 术 组 成 的 具有 专门 用 途 
的 设备 ,主要 提供 一 项 或 多 项 安全 功能 。 它 将 多 种 安全 特性 集成 于 一 个 硬 设备 里 ,构成 一 个 
标准 的 统一 管理 平台 。UTM 设备 应 该 具备 的 基本 功能 包括 网 络 防火 墙 网 络 入 侵 检 测 / 防 
御 和 防 病毒 网 关 功能 。 这 几 项 功能 并 不 一 定 要 同 
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他 特性 通常 都 是 为 主要 的 安全 功能 服务 的 。 
图 11-26 所 示 为 UTM 系统 平台 上 的 综合 多 项 功能 。 图 11-26 UTM 系统 平台 的 综合 功能 


11.42 UTM 技 术 原 理 

实现 UTM 需要 无 颖 集成 多 项 安全 技术 ,达到 在 不 降低 网 络 应 用 性 能 的 情况 下 ,提供 集 
成 的 2~7 层 的 安全 保护 。 以 下 为 一 些 典 型 的 技术 ， 

1. 完全 内 容 保护 


完全 内 容 保护 (complete content protection,CCP) 提 供 对 OSI 网 络 模型 所 有 层次 上 的 网 络 
威胁 的 实时 保护 。 它 具备 在 千 兆 网 络 环境 中 实时 将 网 络 层 数据 负载 重组 为 应 用 层 对 象 (如 文 
件 和 文档 ) 的 能 力 , 重 组 之 后 的 应 用 层 对 象 可 以 通过 动态 更 新 病毒 和 蠕虫 特征 进行 扫描 和 分 
析 。CCP 还 可 探测 其 他 各 种 威胁 ,包括 不 良 Web 内 容 、 垃 圾 邮件 间谍 软件 和 网 络 钓 鱼 欺 骗 。 


2. ASIC 加 速 技术 


ASIC 芯片 是 UTM 产品 的 一 个 关键 组 成 部 分 。 为 了 提供 千 兆 级 实时 的 应 用 层 安全 服 
务 ( 如 防 病毒 和 内 容 过 滤 ) 的 平台 ,专门 为 网 络 骨干 和 边界 上 高 性 能 内 容 处 理 设计 的 体系 结 
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构 是 必 不 可 少 的 。ASIC 芯片 集成 了 硬件 扫描 引擎、 硬件 加 密 和 实时 内 容 分 析 处 理 能 力 , 提 
供 防火 墙 加 密 / 解 密 , 特 征 匹 配 和 启发 式 数 据 包 扫描 ,以 及 流量 整形 的 加 速 功能 。 由 于 
CCP 需要 强劲 的 处 理 能 力 和 更 大 容量 的 内 存 支 持 , 仅 利用 通用 服务 器 和 网 络 系 统 要 实现 内 
容 处 理 往往 在 性 能 上 达 不 到 要 求 。 


3. 定制 的 操作 系统 


专用 的 强化 安全 的 OS 提供 精简 的 、 高 性 能 防火 墙 和 内 容 安 全 检测 平台 。 基 于 内 容 处 理 
加 速 模 块 的 硬件 加 速 ,加 上 智能 排队 和 管道 管理 ,OS 使 各 种 类 型 流量 的 处 理 时 间 达 到 最 小 ,从 
而 给 用 户 提供 最 好 的 实时 系统 ,有 效 地 实现 防 病毒 防火墙 .VPN\ 反 垃圾 邮件 .IDP 等 功能 。 


4. 紧密 型 模式 识别 语言 


紧密 型 模式 识别 语言 (compact patten recognition language,CPRL) 是 针对 完全 的 内 容 
防护 中 大 量 计算 程序 所 需求 的 加 速 而 设计 的 。 状 态 检 测 防 火 墙 \ 防 病毒 检测 和 入 侵 检测 的 
功能 要 求 ,引发 了 新 的 安全 算法 包括 基于 行为 的 启发 式 算法 。 通 过 硬件 与 软件 的 结合 ,加 上 
智能 型 检测 方法 ,识别 的 效率 得 以 提高 。 


5. 动态 威胁 管理 检测 技术 












































动态 威胁 防御 系统 (dynamic threat prevention | IDs 引 学 | | IPs 引 党 | 防 病毒 引 区 
system,DTPS) 是 由 针对 已 知 和 未 知 威胁 而 增强 全 下 
检测 能 力 的 技术 。DTPS 将 防 病毒 、IDS、IPS 和 动态 威胁 防御 系统 
防火 墙 等 各 种 安全 模块 无 缝 集成 在 一 起 ,将 其 中 
的 攻击 信息 相互 关联 和 共享 ,以 识别 可 疑 的 恶意 TC TC 
流量 特征 ,如 图 11-27 所 示 。DTPS 通过 将 各 种 检 [局 和 二 抽 3 | 异常 检测 引擎 
测 过 程 关 联 在 一 起 ,跟踪 每 一 安全 环节 的 检测 活 一 
动 ,并 通过 启发 式 扫描 和 异常 检测 引擎 检查 ,提高 Wi 
整个 系统 的 检测 精确 度 。 图 11-27 动态 威胁 防御 系统 的 体系 结构 


11.43 UTM 的 优势 与 局 限 性 


作为 一 种 新 的 网 络 安全 防御 系统 ,UTM 有 其 突出 的 优势 和 自身 的 局 限 性 。 
1. UTM 的 优势 


UTM 是 在 新 的 安全 形势 和 新 的 设计 思路 下 提出 的 安全 产品 ,具备 了 许多 传统 安全 防 
护 设备 所 没有 的 优势 : 

(1) UTM 设备 大 大 降低 了 安全 系统 构件 的 复杂 性 ,一 体 化 的 设计 简化 了 产品 选择 、 集 
成 和 支持 服务 的 工作 量 。 避 免 了 软件 安装 工作 和 服务 器 的 增加 。 安 全 服务 商 、 产 品 经 销 商 
甚至 最 终 用 户 通 常 都 能 很 容易 的 安装 和 维护 这 些 设备 ,而 且 这 一 过 程 还 可 以 远程 进行 。 

(2) UTM 设备 的 维护 量 通常 很 小 ,因为 这 些 设备 通常 都 是 即 插 即 用 的 ,只 需要 很 少 的 
安装 配置 。 
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(3) 大 多 数 UTM 设备 可 以 和 高 端 软件 解决 方案 协同 工作 ,这 一 特性 很 有 吸引 力 ,因为 
很 多 硬件 设备 通常 安装 在 远程 地 点 ,企业 在 那里 往往 没有 专业 安全 管理 人 员 ,UTM 设备 可 
以 很 容易 地 安装 并 通过 远程 遥控 管理 。 这 种 管理 方式 可 以 很 好 地 和 大 型 集中 式 的 软件 防火 
墙 协同 工作 。 

(4) 由 于 应 用 的 需求 ,用 户 通常 都 倾向 于 尝试 各 种 操作 ,UTM 安全 设备 的 “ 黑 盒子 ? 设 
计 限 制 了 用 户 危 险 操作 的 可 能 ,通过 更 少 的 操作 过 程 ,降低 了 误 操作 隐患 ,从 而 提高 了 安 
全 性 。 


2. UTM 的 局 限 性 


UTM 处 在 网 关 的 位 置 , 就 必然 要 面临 性 能 和 检测 能 力 的 平衡 问题 。 在 这 个 方面 ,传统 
防火 墙 的 性 能 已 经 非常 好 了 ,基本 上 可 以 做 到 线 速 传输 。 而 旁 路 式 的 IDS 和 审计 系统 ,由 
于 没有 传输 性 能 的 压力 ,可 以 对 于 数据 进行 非常 深度 和 广度 的 检测 和 分 析 。 而 UTM 作为 
一 个 希望 提供 多 样 化 检测 能 力 的 网 关 设 备 ,必须 在 性 能 和 检测 能 力 上 寻求 平衡 ,在 高 带宽 环 
境 下 两 方面 都 达到 很 高 水 平 是 不 可 能 。 由 于 UTM 自身 的 检测 是 多 方面 的 检测 ,而 且 这 些 
检测 结果 还 要 用 于 阻 断 /通行 的 判断 。 这 样 的 复杂 状态 ,使 得 目前 UTM 设备 的 高 可 用 性 能 
力 普 遍 要 弱 于 防火 墙 和 路 由 器 。 

因此 ,UTM 不 适合 作为 高 带宽 高 性 能 要 求 的 网 关 , 也 不 适合 作为 深度 检测 数据 源 存 
在 .那么 UTM 应 当 部 署 在 带宽 不 大 ,流量 不 大 ,对 于 高 可 用 性 的 要 求 一 般 , 但 是 对 于 综合 
安全 防护 要 求 高 ,不 希望 过 多 人 工 维护 和 干预 的 网 关 人 位置。 所以.UTM 通常 只 能 部 署 在 中 
小 企业 的 大 部 分 网 关 位 置 ,或 大 型 企业 和 机 构 的 低 端 接 人 网 关 位 置 。 


第 12 章 安全 协议 


安全 协议 是 网 络 安全 体系 结构 中 的 核心 问题 之 一 ,是 将 密码 技术 应 用 于 网 络 安全 系统 
的 纽带 ,是 确保 网 络 信息 系统 安全 的 关键 。 


121 安全 协议 概述 
1211 安全 协议 基本 概念 


安全 协议 主要 涉及 以 下 几 个 基本 概念 : 

1. 协议 

协议 指 两 个 或 多 个 参与 者 为 完成 某 项 特定 的 任务 而 采取 的 一 系列 步 又。 
2. 通信 协议 


通信 协议 指 通信 各 方 关 于 通信 如 何 进行 所 达成 的 一 致 性 规则 , 即 由 参与 通信 的 各 方 按 
确定 的 步骤 做 出 一 系列 通信 动作 ,是 定义 通信 实体 之 间 交 换 信息 的 格式 及 意义 的 一 组 规则 。 
它 包 括 语法 .语义 和 同步 三 大 要 素 。 请 法 , 即 数据 与 控制 信息 的 结构 或 格式 ; 语义 , 即 需 
要 发 出 何 种 控制 信息 ,完成 何 种 动作 以 及 做 出 何 种 响应 ; 同步 指 事件 实现 顺序 的 详细 
说 明 。 


3. 安全 协议 


安全 协议 指 通过 信息 的 安全 交换 实现 某 种 安全 目的 所 共同 约定 的 逻辑 操作 规则 。 简 单 
地 说 ,安全 协议 指 实现 某 种 安全 目的 的 通信 协议 ,所 以 又 称 为 安全 通信 协议 。 由 于 安全 协议 
通常 要 用 到 密码 技术 ,所 以 又 称 为 密码 协议 。 


4. 网 络 安全 通信 协议 


网 络 安全 通信 协议 属于 安全 协议 , 指 在 计算 机 网 络 中 使 用 的 具有 安全 功能 的 通信 协议 ， 
也 就 是 说 ,通过 正确 地 使 用 密码 技术 和 访问 控制 等 技术 解决 网 络 中 信息 的 安全 交换 问题 。 
根据 安全 协议 的 概念 ,安全 协议 除了 具有 协议 和 通信 协议 的 基本 特点 外 ,还 应 包括 以 下 
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基本 要 素 

(1) 保证 信息 交换 的 安全 ,其 目的 是 完成 某 种 安全 任务 。 

(2) 使 用 密码 技术 。 密 码 技术 是 安全 协议 保证 通信 安全 所 采用 的 核心 技术 ,如 信息 交 
换 的 机 密 性 ,完整 性 , 抗 否认 性 等 都 要 依赖 密码 技术 。 

(3) 具有 严密 的 共同 约定 的 逻辑 交换 规则 。 保 证 信息 安全 交换 除了 采用 密码 技术 以 
外 ,逻辑 交换 规则 是 否 严密 , 即 协议 的 安全 交换 过 程 是 否 严密 都 十 分 重要 ,安全 协议 的 分 析 
往往 是 针对 这 一 部 分 来 进行 的 。 

(4) 使 用 访问 控制 等 安全 机 制 。 必 要 时 还 应 使 用 访问 控制 等 安全 机 制 ,IPSec 协议 在 进 
行 安全 通信 时 就 特别 强调 这 一 点 。 事 实 上 ,在 其 他 安全 协议 中 , 当 解 密 失败 或 完整 性 检验 无 
法 通过 时 ,通常 都 会 丢弃 报 文 ,这 就 是 最 基本 的 访问 控制 。 


1212 TCIP 安 全 分 析 


由 于 人 们 认 知 与 实践 的 局 限 性 ,在 设计 计算 机 系统 及 信息 网 络 时 留 下 了 大 量 的 安全 漏 
洞 ,成 为 导致 信息 安全 问题 的 根本 原因 。 在 这 些 漏洞 当中 ,协议 的 漏洞 又 是 最 主要 的 。 由 于 
TCP/IP 协议 簇 在 早期 设计 时 是 以 面向 应 用 为 根本 目的 ,因此 未 能 充分 考虑 到 安全 性 及 协 
议 自身 的 脆弱 性 ,不 完备 性 ,导致 网 络 中 存在 着 许多 可 能 遭受 攻击 的 漏洞 。 这 些 潜在 的 隐患 
使 得 攻击 者 可 以 利用 存在 的 漏洞 来 对 攻击 目标 进行 恶意 的 连接 、 操 作 , 从 而 可 以 达到 获取 重 
要 信息 、 提 升 控制 权限 等 非 授权 目的 。 


1. 网 络 层 协议 的 安全 隐患 


在 TCP/IP 体系 结构 的 网 络 层 ,最 重要 的 协议 就 是 IP 协议 ,用 来 使 互联 起 来 的 许多 计 
算 机 网 络 能 够 进行 通信 。 

然而 ,IP 协议 在 实现 通信 的 过 程 中 并 不 能 为 数据 提供 完整 性 和 机 密 性 保护 ,缺少 基于 
IP 地 址 的 身份 认证 机 制 ,容易 遭 到 IP 地 址 欺骗 攻击 。 因 此 ,IP 地 址 假冒 成 为 IP 协议 的 主 
要 安全 问题 。 由 于 使 用 TCP/IP 协议 的 主机 假设 所 有 以 合法 IP 地 址 发 送 的 数据 包 都 是 有 
效 的 。 理 论 上 对 于 一 个 IP 数据 包 是 否 来 自 真 正 的 源 地 址 ,IP 协议 并 不 做 任何 保障 。 这 意 
味 着 任何 一 台 计 算 机 都 可 以 发 送 包 含 任 意 源 地 址 的 数据 包 ,IP 数据 包 中 的 源 地 址 是 不 可 
信 的 。 

IP 协议 的 另 一 个 安全 问题 是 利用 源 路 由 选项 进行 攻击 。 源 路 由 指定 了 IP 数据 包 必 须 
经 过 的 路 径 , 可 以 测试 某 一 特定 网 络 路 径 的 吞吐 量 , 或 使 IP 数据 包 选 择 一 条 更 安全 可 靠 的 
路 由 。 源 路 由 选项 使 得 入 侵 者 能 够 绕 开 某 些 网 络 安全 措施 而 通过 对 方 没有 防备 的 路 径 攻 击 
目标 主机 。 

此 外 ,IP 协议 还 存在 重组 IP 分 片 包 的 威胁 。 虽 然 IP 首部 的 长 度 字段 限制 了 包 长 度 最 
大 为 65 535 字 节 , 但 对 于 分 片 包 而 言 ,多 个 分 片 包 组 合 起 来 是 有 可 能 大 于 65 535 字 节 的 ， 
IP 协议 并 没有 检查 机 制 , 从 而 造成 溢出 。 著 名 的 Ping 攻击 就 是 利用 这 一 安全 隐患 来 实 
施 的 。 
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2. 传输 层 协议 的 安全 隐患 


TCP/IP 体系 结构 传输 层 的 两 个 协议 是 TCP 协议 和 UDP 协议 ,这 两 个 协议 都 存在 着 
各 自 的 安全 隐患 。 

1) TCP 协议 的 安全 隐患 

TCP 协议 是 面向 连接 的 协议 ,必须 通过 三 次 握手 建立 一 个 TCP 连接 。 在 完成 三 次 握 
手 的 过 程 中 ,有 时 会 出 现 服务 器 端的 一 个 异常 线程 等 待 。 如 果 大 量 发 生 这 种 情况 ,服务 器 端 
就 会 为 了 维持 大 量 的 半 连 接 列 表 而 耗费 一 定 的 资源 。 当 达到 TCP 处 理 上 限时 ,TCP 将 拒 
绝 所 有 连接 请 求 , 表 现 为 服务 器 失去 响应 。 

另外 , 当 两 台 计 算 机 按照 TCP 协议 连接 后 ,该 协议 会 生成 一 些 初始 序列 号 ,提供 计算 机 
网 络 设备 间 的 连接 信息 ,但 这 些 序 列 号 并 不 是 随机 产生 的 ,有 许多 平台 可 以 计算 这 些 序列 
号 。 攻 击 者 利用 这 一 漏洞 控制 互联 网 或 企业 内 部 网 上 基于 TCP 协议 的 连接 ,并 对 计算 机 网 
络 实施 多 种 类 型 的 攻击 。 

2) UDP 协议 的 安全 隐患 

UDP 协议 是 一 种 不 可 靠 的 传输 层 协议 ,依赖 于 IP 协议 传送 报 文 , 且 不 确认 报 文 是 否 到 
达 , 不 对 报 文 排序 也 不 进行 流量 控制 ,对 于 顺序 错误 或 丢失 的 包 , 也 不 做 纠 错 和 重 传 。UDP 
协议 没有 建立 初始 化 连接 ,因此 欺骗 UDP 包 比 欺骗 TCP 包 更 加 容易 ,与 UDP 相关 的 服务 
面临 着 更 大 的 威胁 。 


3. 应 用 层 协 议 的 安全 隐患 


直接 面 对 最 终 用 户 的 应 用 层 上 的 网 络 应 用 和 服务 种 类 众多 ,实现 差异 很 大 ,每 一 种 应 用 
都 有 各 自 特定 的 安全 问题 。 面 向 当前 大 量 的 网 络 应 用 服务 ,应 用 层 协 议 多 而 且 复 杂 。 

应 用 层 协议 的 安全 隐患 主要 存在 于 两 个 方面 ,一 是 大 部 分 以 超级 管理 员 的 权限 运行 ,一 
且 这 些 程序 存在 安全 漏洞 且 被 攻击 者 利用 , 极 有 可 能 取得 整个 系统 的 控制 权 。 二 是 许多 协 
议 采用 简单 的 身份 认证 方式 ,并 且 在 网 络 中 以 明文 方式 传输 。 

正 是 由 于 这 些 漏洞 的 存在 ,网 络 系统 受到 了 严重 的 威胁 ,安全 事件 层出不穷 ,出 现 了 许 
多 针对 协议 的 典型 攻击 ,如 SYN Flood 攻击 、TCP 序列 号 猜测 、IP 地 址 欺骗 :TCP 会 话 动 
持 、 路 由 欺骗 ,DNS 欺骗 .ARP 欺骗 ,UDP Flood 攻击 以 及 Ping of Death 攻击 等 。 


1213 TCOPIP 安 全 架构 


为 了 解决 TCP/IP 协议 簇 的 安全 问题 ,弥补 TCP/IP 协议 簇 在 设计 之 初 对 安全 功能 的 
考虑 不 足 , 以 Internet 工程 任务 组 (IETF) 为 代表 的 相关 组 织 不 断 通过 对 现 有 协议 的 改进 和 
设计 新 的 安全 通信 协议 来 对 现 有 的 TCP/IP 协议 簇 提供 相关 的 安全 保证 ,在 Internet 安全 
性 研究 方面 取得 了 积极 进展 。 由 于 TCP/IP 各 层 协 议 提供 的 功能 不 同 ,面向 各 层 提 供 的 安 
全 保证 也 不 同 ,人 们 在 协议 的 不 同 层次 设计 了 相应 的 安全 通信 协议 ,用 来 保障 网 络 各 个 层次 
的 安全 。 目 前 ,在 TCP/IP 的 安全 体系 结构 中 ,从 链 路 层 、 网 络 层 、 传 输 层 到 应 用 层 , 已 经 出 
现 了 一 系列 相应 的 安全 通信 协议 。 从 而 形成 了 由 各 层 安 全 通信 协议 构成 的 TCP/IP 协议 簇 
的 安全 架构 ,如 图 12-1 所 示 。 
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12-1 TCP/IP 的 安全 体系 结构 


数据 链 路 层 安全 通信 协议 负责 提供 通过 通信 链 路 连接 起 来 的 主机 或 路 由 器 之 间 的 安全 
保证 ,该 层 安 全 通信 协议 主要 有 PPTP、L2TP 等 ,主要 优点 是 效率 高 ,主要 缺点 是 不 通用 、 扩 
展 性 不 强 。 

网 络 层 安全 通信 协议 主要 是 解决 网 络 层 通信 的 安全 问题 ,对 于 TCP/IP 协议 来 说 ,就 是 
解决 IP 协议 的 安全 问题 。 现 阶段 ,IPSec 是 最 为 主要 的 网 络 层 安 全 通信 协议 ,主要 优点 是 
对 网 络 层 以 上 各 层 透明 性 好 ; 主要 缺点 是 很 难 提供 不 可 否认 服务 。 

传输 层 安 全 通信 协议 主要 是 实现 传输 层 的 安全 通信 ,主要 有 SSL 和 TLS 等 。 传 输 层 
的 安全 只 可 在 端 系统 实现 ,可 以 提供 基于 进程 与 进程 的 安全 通信 ,但 主要 缺点 是 需要 对 应 程 
序 进 行 修改 ,提供 安全 的 透明 性 不 好 。 

应 用 层 安全 通信 协议 主要 是 根据 诸如 电子 邮件 .电子 交易 等 特定 应 用 的 安全 需求 及 特 
点 而 设计 的 安全 协议 ,主要 有 S/MIME、PGP、SET、SNMP、S-HTTP 等 。 这 些 应 用 层 的 安 
全 措施 必须 在 端 系统 及 主机 上 实施 。 其 主要 优点 是 可 以 更 紧密 地 结合 具体 应 用 的 安全 需求 
和 特点 ,提供 针对 性 更 强 的 安全 功能 和 服务 ; 主要 缺点 也 由 此 引起 , 它 针 对 每 个 应 用 都 需要 
单独 设计 一 套 安 全 机 制 。 

至 于 需要 在 哪 一 层 采用 什么 安全 通信 协议 ,应 综合 考虑 应 用 对 安全 保密 的 具体 要 求 、 每 
一 层 实现 安全 功能 的 特点 以 及 其 他 相关 因素 。 


122 IPSec 协议 


为 了 改善 现 有 IPv4 协议 在 安全 等 方面 的 不 足 ,IETF(JInternet engineering task force) 
的 下 一 代 网 络 协议 (IPng) 工 作 组 于 1995 年 底 确定 了 IPng 协议 规范 , 称 为 IP 版 本 6(IPv6) 。 
IPSec(IP security) 产 生 于 IPv6 的 制定 之 中 ,用 于 提供 IP 层 的 安全 性 。 由 于 所 有 支持 
TCP/IP 协议 的 主机 进行 通信 时 ,都 要 经 过 IP 层 的 处 理 , 所 以 提供 了 IP 层 的 安全 性 就 相当 
于 为 整个 网 络 提供 了 安全 通信 的 基础 。 
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IPv6 利用 新 的 网 络 安全 体系 结构 IPSec 通过 验证 报头 (authentication header,AH) 和 
封装 安全 有 效 负载 (encapsulating security payload,ESP) 两 个 安全 协议 分 别 为 IP 协议 提供 
了 基于 无 连接 的 数据 完整 性 和 数据 保密 性 ,加 强 了 IP 协议 的 安全 ,克服 了 原 有 IPv4 协议 安 
全 的 不 足 。 

IPv6 为 IP 数据 提供 了 在 IP 层 上 实现 数据 完整 性 数据 保密 性 、 认 证 \ 访 问 控制 和 不 可 
否认 性 等 安全 服务 ,同时 实现 IP 网 络 的 通信 安全 。 

鉴于 IPv4 的 应 用 仍然 很 广泛 ,所 以 后 来 在 IPSec 的 制定 中 也 增添 了 对 IPv4 的 支持 。 
IPSec 提供 既 可 用 于 IPv4 也 可 用 于 IPv6 的 安全 性 机 制 ,是 IPv6 的 一 个 组 成 部 分 ,也 是 
IPv4 的 一 个 可 选 扩展 协议 。 

IETF 从 1995 年 8 月 陆续 公布 了 一 系列 关于 IPSec 的 RFC 建议 标准 ,具体 如 下 : 

(1) Internet 协议 安全 结构 (RFC2401)。 

(2) IP 鉴别 头 (RFC2402)。 

(3) IP 封装 安全 载荷 CRFC2406 ) 。 

(4) Internet 密 钥 交换 (RFC2409) 。 

(5) ESP DES-CBC 交换 (RFC1829)。 

(6) ESP 和 AH 中 HMAC-MD5-96 的 采用 (RFC2403)。 

(7) ESP 和 AH 中 HMAC-SHA-1-96 的 采用 (RFC2404)。 

IPSec 的 内 容 相当 丰富 ,定义 的 协议 也 非常 多 ,除了 上 面 所 列 的 核心 协议 之 外 ,还 包含 
许多 其 他 内 容 。 完 整 的 文档 列表 可 参阅 RFC2411。 

IPSec 协议 工作 在 网 络 层 。 








1221 基本 概念 和 术语 


IPSec 协议 主要 涉及 下 列 几 个 基本 概念 和 术语 。 
1. 安全 关联 


为 了 正确 封装 和 提取 IPSec 的 数据 包 , 有 必要 采取 一 套 专 门 的 方案 ,将 安全 服务 、 密 钥 
等 与 要 保护 的 通信 数据 联系 在 一 起 ,这 样 的 构建 方案 称 为 安全 关联 (security association， 
SA)。SA 是 IPSec 的 一 个 重要 的 基本 概念 ,是 安全 协议 保护 通信 的 依据 ,包括 了 通信 的 保 
护 模 式 ( 传 输 或 隧道 模式 ) .加 密 及 认证 算法 、 加 密 及 认证 密 钥 以 及 密 钥 的 生存 期 等 安全 信息 
参数 。 安 全 协议 ESP 和 AH 的 执行 都 依赖 于 SA ,SA 由 密 钥 管理 协议 协商 产生 。 

IPSec 的 SA 是 发 送 者 和 接收 者 两 个 IPSec 系统 之 间 的 一 个 单 向 逻辑 连接 。 所 谓 单 向 ， 
就 是 它 仅 朝 一 个 方向 定义 安全 服务 ,要 么 对 通信 实体 外 送 的 包 进行 保护 ,要 么 对 实体 收 到 的 
包 进 行 保护 。 若 要 在 一 个 对 等 系统 间 进 行 源 和 目的 的 双向 安全 通信 , 则 需要 两 个 SA, 因此 
SA 通常 都 是 以 对 的 形式 存在 的 。 一 个 SA 通常 由 以 下 参数 定义 。 

(1) AH 使 用 的 认证 算法 和 算法 模式 。 

(2) AH 认证 算法 使 用 的 密 钥 。 

(3) ESP 加 密 算法 使 用 的 密 钥 以 及 密码 同步 初始 化 向 量 字 段 及 其 大 小 。 
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(4) ESP 变换 使 用 的 认证 算法 和 算法 模式 。 

(5) 认证 算法 使 用 的 认证 密 钥 。 

(6) 密 钥 的 生存 期 。 

(7) SA 的 生存 期 及 源 地 址 。 

安全 关联 SA 通过 一 个 三 元 组 (安全 参数 索引 SPI. 目 的 IP 地址 和 安全 协议 AH 或 
ESP) 来 唯一 标识 。 一 个 SA 为 其 所 携带 的 业务 流 仅 提供 一 种 安全 机 制 (AH 或 ESP) ,因此 
若 要 对 特定 的 业务 流 提供 多 种 安全 保护 ,就 要 有 多 个 SA 序列 组 合 。 

在 IP 安全 体系 中 ,为 了 处 理 IP 业务 而 定义 了 一 个 通用 模型 ,该 模型 中 有 两 个 与 SA 相 
关 的 数据 库 , 即 安全 策略 数据 库 (security policy database,SPD) 和 安全 关联 数据 库 (security 
association database,SAD)。 实 现 IPSec 必须 维护 这 两 个 数据 库 。 

(1) 安全 策略 数据 库 。 该 数据 库 定义 了 对 所 有 出 入 业务 应 采取 的 安全 策略 , 它 指明 了 
为 IP 数据 包 提 供 什么 服务 以 及 以 什么 方式 提供 。 对 所 有 进入 或 离开 IP 协议 栈 的 数据 包 都 
必须 检索 SPD 数据 库 。 对 一 个 SPD 条 目 来 说 , 它 对 出 入 IP 数据 包 处 理 定义 了 三 种 可 能 的 
选择 , 即 丢弃 、 绕 过 或 应 用 。 

(2) 安全 关联 数据 库 。SADB 为 进入 和 外 出 包 处 理 维持 一 个 活动 的 SA 列表 。 外 出 SA 
用 来 保障 外 出 包 的 安全 ,进入 SA 用 来 处 理 带 有 IPSec 头 的 进入 包 。SADB 是 各 个 SA 聚集 
在 一 起 形成 的 ,要 么 手工 管理 ,要 么 通过 IKE 这 样 的 自动 密 钥 管 理 系 统 进行 管理 。 


2. 隧道 


隧道 就 是 把 一 个 包 封装 在 另 一 个 新 包 中 ,整个 源 数据 包 作为 新 包 的 有 效 载荷 部 分 ,并 在 
前 面 添加 一 个 新 的 IP 头 。 这 个 新 IP 头 的 目的 地 址 通常 是 IPSec 防火 墙 \ 安 全 网 关 或 路 由 
器 。 通 过 隧道 技术 可 以 对 外 隐藏 内 部 数据 和 网 络 细节 。 对 IPSec 而 言 ,IP 隧道 的 直接 目标 
就 是 对 整个 IP 数据 包 提 供 完整 的 保护 。 


3. Internet 安全 关联 和 密 钥 管理 协议 


Internet 安全 关联 和 密 钥 管理 协议 (Internet security association and key management 
protocol,ISAKMP) 是 与 IPSec 密切 相关 的 一 个 协议 ,为 Internet 环境 下 安全 协议 使 用 的 安 
全 关联 和 密 钥 的 创建 定义 了 一 个 标准 通用 框架 ,定义 了 密 钥 管理 表述 语言 通用 规则 及 
要 求 。 


4. 解释 域 


解释 域 (domain of interpretation,DOI) 是 Internet 编号 分 配 机 构 IANA 给 出 的 一 个 命 
名 空间 。 解 释 域 为 使 用 ISAKMP 进行 安全 关联 协商 的 协议 统一 分 配 标识 符 。 共 享 一 个 
DOI 的 协议 从 一 个 共同 的 命名 空间 中 选择 安全 协议 和 密码 变换 .共享 密 钥 以 及 交换 协议 标 
识 符 等 ,从 而 使 用 相同 DOI 的 协议 对 该 DOI 下 的 载荷 数据 内 容 做 出 统一 的 解释 。 一 个 针对 
具体 协议 的 DOI( 如 IPSec DOD 还 规定 一 些 附加 的 安全 处 理 规则 ,如 其 他 密 钥 交换 序列 (也 
就 是 密 钥 生成 方案 ) ,初始化 向 量 的 计算 规则 等 。 

为 了 IPSec 通信 两 端 相互 交互 ,IPSec 载荷 (AH 载荷 或 ESP 载荷 ) 中 各 字段 的 取 值 应 
该 对 双方 都 可 理解 ,因此 通信 双方 必须 保持 对 通信 消息 相同 的 解释 规则 , 即 应 持 有 相同 的 解 
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释 域 DOI。IPSec 至 少 给 出 了 两 个 解释 域 : IPSec DOI、ISAKMP DOI, 它 们 各 有 不 同 的 使 用 
范围 。 


二 22 IPSec 组 成 


IPSec 协议 组 包含 AH 协议 .ESP 协议 和 密 钥 的 交换 标准 (Internet key exchange， 
IKE) 协 议 。 其 中 AH 协议 定义 了 认证 的 应 用 方法 ,提供 数据 源 认证 和 完整 性 保证 ; ESP 协 
议定 义 了 加 密 和 可 选 认证 的 应 用 方法 ,提供 可 靠 性 保证 。 在 实际 进行 IP 通信 时 ,可 以 根据 
实际 安全 需求 同时 使 用 这 两 种 协议 或 选择 使 用 其 中 的 一 种 。AH 和 ESP 都 可 以 提供 认证 
服务 ,不 过 AH 提供 的 认证 服务 要 强 于 ESP。IKE 用 于 密 钥 交换 。 


1. AH 协议 


设计 AH 协议 的 主要 目的 是 用 来 增加 IP 数据 包 完整 性 的 认证 机 制 。 尽 管 IP 报头 中 的 
“ 校 验 和 ?字段 用 于 保证 IP 数据 包 的 完整 性 ,但 这 种 完整 性 保护 非常 弱 , 因 为 IP 报头 很 容易 
修改 。AH 就 是 要 为 IP 数据 流 提供 高 强度 的 密码 认证 ,以 确保 被 修改 过 的 数据 包 可 以 被 检 
查 出 来 。 

AH 协议 为 IP 通信 提供 数据 源 认 证 \ 数 据 完整 性 和 抗 重 放 保 证 ,能 保护 通信 和 免 受 算 改 ， 
但 不 能 防止 窃听 ,适合 用 于 传输 非 机 密 数 据 。AH 的 工作 原理 是 在 每 一 个 数据 包 上 添加 一 
个 身份 验证 报头 。 此 报头 包含 一 个 被 加 密 的 Hash 值 (可 以 将 其 当 作 数字 签名 ,只 是 它 不 使 
用 证 书 ) ,此 Hash 值 在 整个 数据 包 中 计算 ,因此 对 数据 的 任何 更 改 将 导致 Hash 值 无 效 ,这 




















样 就 提供 了 完整 性 保护 。 0 8 16 31 
AH 报头 位 置 在 IP 报头 和 传输 层 协议 头 之 下 一 个 头 | 载荷 长 度 保留 

间 。AH 由 协议 号 51 标识 ,该 值 包 含 在 AH 报 安全 参数 索引 

头 之 前 的 IP 报头 中 。AH 可 以 单独 使 用 ,也 可 序列 号 

以 与 ESP 协议 结合 使 用 。 认证 数据 











AH 报头 结构 如 图 12-2 所 示 。 

(1) 下 一 个 头 (next header): 8 位 ,标识 下 
一 个 使 用 IP 协议 号 的 报头 类 型 ,其 取 值 在 RFC1700 中 定义 。 例 如 ,Next Header 值 等 于 6， 
表示 紧 接 其 后 的 是 TCP 报头 ; Next Header 值 等 于 50, 表 示 紧 接 其 后 的 是 ESP 报头 。 

(2) 载荷 长 度 (payload length): 8 位 ,表示 以 32 位 为 单位 的 AH 头 的 长 度 减 2。 例 如 ， 
如 果 认 证 数据 的 长 度 为 3 个 字 节 ,认证 数据 前 面 的 5 个 字段 长 度 为 固定 长 度 3 个 字 , 则 载荷 
长 度 的 值 为 3 十 3 一 2 二 4。 减 2 是 因为 AH 是 一 个 IPv6 的 扩展 头 , RFC1883 规定 ,计算 
IPv6 扩展 头 长 度 时 应 首先 从 头 长 度 中 减 去 一 个 64 位 的 字 , 相 当 于 2 个 32 位 的 字 。 

(3) 保留 (reserved) : 16 位 , 供 将 来 使 用 。 值 为 0。 

(4) 安全 参数 索引 (security parameters index,SPI) : 这 是 一 个 为 数据 报 识别 安全 关联 
SA 的 32 位 伪 随 机 值 。SPI 值 0 被 保留 来 表明 * 没 有 安全 关联 存在 ”, 另 外 ,1 一 255 被 IANA 
保留 将 来 使 用 。 

(5) 序列 号 (sequence number): 从 1 开始 的 32 位 单 增 序列 号 ,不 允许 重复 ,唯一 地 标 
识 了 每 一 个 发 送 数 据 包 ,为 安全 关联 提供 抗 重 放 保 护 。 接 收 端 校 验 序 列 号 为 该 字段 值 的 数 


12-2 AH 头 结构 
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据 包 是 否 已 经 被 接收 过 ,若是 , 则 拒 收 该 数据 包 。 

(6) 认证 数据 (authentication data,AD) : 长 度 可 变 , 但 必须 是 32 位 的 整数 倍 , 默 认 长 
度 为 96 位 ,包含 了 数据 包 的 完整 性 校 验 值 ICV。AH 使 用 消息 认证 码 MAC 对 数据 包 进 
行 认证 , 它 根据 一 个 任意 长 的 消息 和 一 个 密 钥 ,生成 固定 长 度 的 消息 摘要 。 接 收 端 接收 
数据 包 后 ,采用 同样 的 认证 算法 进行 计算 ,再 与 发 送 端 所 计算 的 ICV 值 比较 , 若 两 者 相 
等 ,表示 数据 完整 , 若 在 传输 过 程 中 数据 遭 修 改 ,两 个 计算 结果 不 一 致 , 则 丢弃 该 数据 包 。 
一 般 AH 为 整个 数据 包 提 供 完 整 性 检查 ,但 如 果 IP 报头 中 包含 “生存 期 ”time to live) 或 
“服务 类 型 "(type of service) 等 值 可 变 字段 , 则 在 进行 完整 性 检查 时 应 将 这 些 值 可 变 字段 
去 除 。 


2. ESP 协议 


设计 ESP 协议 的 主要 目的 是 提高 IP 数据 包 的 安全 性 。ESP 的 作用 是 提供 机 密 性 保 
护 、 有 限 的 流 机 密 性 保护 、 无 连接 的 完整 性 保护 ,数据 源 认证 和 抗 重 放 攻 击 等 安全 服务 。 和 
AH 一 样 ,通过 ESP 的 进入 和 外 出 处 理 还 可 以 提供 访问 控制 服务 。 实 际 上 ,ESP 提供 和 
AH 类 似 的 安全 服务 ,但 增加 了 数据 机 密 性 保护 和 有 限 的 流 机 密 性 保护 等 两 个 额外 的 安全 
服务 。 机 密 性 保护 服务 通过 使 用 密码 算法 加 密 IP 数据 包 的 相关 部 分 来 实现 , 流 机 密 性 保护 
服务 由 隧道 模式 下 的 机 密 性 保护 服务 来 提供 。 

ESP 的 加 密 服务 是 可 选 的 ,如 果 启 用 加 密 , 也 就 同时 选择 了 完整 性 检查 和 认证 。 因 为 
如 果 仅 使 用 加 密 , 入 侵 者 就 可 能 伪造 包 以 发 动 密码 分 析 攻 击 。 

ESP 可 以 单独 使 用 ,也 可 以 和 AH 结合 使 用 。 一 般 ESP 不 对 整个 数据 包 加 密 , 而 是 只 
加 密 IP 包 的 有 效 载 荷 部 分 ,不 包括 IP 头 。 在 端 对 端的 隧道 通信 中 ,ESP 需要 对 整个 数据 包 
加 密 。 

ESP 数据 包 格式 如 图 12-3 所 示 。 
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图 12-3 ESP 数据 包 格式 


(1) 安全 参数 索引 : 32 位 整数 。 它 和 IP 头 的 目的 地 址 .ESP 协议 一 起 用 以 唯一 标识 对 
这 个 包 进 行 ESP 保护 的 SA。 

(2) 序列 号 : 从 1 开始 的 32 位 单 增 序列 号 ,不 允许 重复 ,唯一 地 标识 了 每 一 个 发 送 数据 
包 , 为 安全 关联 提供 反 重 播 保护 。 接 收 端 校 验 序列 号 为 该 字段 值 的 数据 包 是 否 已 经 被 接收 
过 ,若是 , 则 拒 收 该 数据 包 。 
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(3) 载荷 数据 : 长 度 不 固定 ,所 包含 的 是 由 下 一 个 头 字段 所 指示 的 数据 (如 整个 IP 数据 
包 、 上 层 协议 TCP 或 UDP 报 文 等 )。 如 果 使 用 机 密 性 保护 服务 ,该 字段 就 包含 所 要 保护 的 
实际 载荷 , 即 数据 包 中 需要 加 密 部 分 的 数据 ,然后 和 填充 项 .填充 项 长 度 以 及 下 一 个 头等 字 
段 一 起 被 加 密 。 如 果 采 用 的 加 密 算法 需要 初始 化 向 量 IV, 则 它 也 将 在 载荷 数据 字段 中 传 
输 , 并 由 算法 确定 IV 的 长 度 和 位 置 。 

(4) 填充 项 (padding) : 如 果 加 密 算 法 要 求 明文 是 某 个 数字 的 整数 倍 , 则 通过 填充 可 将 
明文 扩充 到 所 需要 的 长 度 。 另 外 ,通过 填充 可 以 隐藏 载荷 数据 的 实际 长 度 , 从 而 对 流量 提供 
部 分 的 保密 性 。 

(5) 填充 项 长 度 : 8 位 ,表明 填充 项 字段 中 填充 以 字 节 为 单位 的 长 度 。 

(6) 下 一 个 头 : 识别 下 一 个 使 用 IP 协议 号 的 报头 ,如 TCP 或 UDP。 

(7) 认证 数据 (authentication data) : 长 度 不 国定 ,存放 的 是 完整 性 校 验 值 ICV。 它 
是 对 除 认 证 数据 字段 以 外 的 ESP 包 进 行 计 算 获 得 的 ,其 实际 长 度 取决 于 采用 的 认证 
算法 。 


3. IKE 协议 


IPSec 密 钥 管 理 主要 是 由 IKE 协议 完成 。 用 IPSec 保护 一 个 IP 数据 流 之 前 ,必须 先 建 
立 一 个 安全 关联 SA。SA 由 手工 或 动态 创建 , 当 用 户 数量 不 多 , 密 钥 的 更 新 频率 不 高 时 ,可 
以 选择 使 用 手工 建立 的 方式 ; 当 用 户 较 多 ,网 络 规模 较 大 时 ,就 应 该 选择 自动 方式 。IKE 就 
是 IPSec 规定 的 一 种 用 于 动态 管理 和 维护 SA 的 协议 。 

IKE 的 基础 是 ISAKMP、Oakley 和 SKEME 三 个 协议 ,沿用 了 ISAKMP 的 基础 、 
Oakley 的 模式 以 及 SKEME 的 共享 和 密 钥 更 新 技术 。 要 强调 的 是 ,虽然 ISAKMP 称 为 
Internet 安全 关联 和 密 钥 管理 协议 ,但 它 定 义 的 是 一 个 管理 框架 。ISAKMP 定义 了 双方 如 
何 沟通 ,如 何 构 建 彼此 间 的 沟通 信息 ,还 定义 了 保障 通信 安全 所 需要 的 状态 交换 。ISAKMP 
提供 了 进行 身份 认证 的 方法 以 及 密 钥 交 换 时 交换 信息 的 方法 。 

由 于 IKE 以 ISAKMP 为 框架 ,所 以 它 使 用 了 两 个 交换 阶段 ,阶段 一 用 于 建立 IKE SA， 
阶段 二 利用 已 建立 的 IKE SA 为 IPSec 协商 具体 的 一 个 或 多 个 安全 关联 , 即 建立 IPSec SA。 
同时 ,IKE 定义 了 交换 模式 , 即 主 模式 .野蛮 模 式 、 快 速 模式 和 新 群 模式 。 

IKE 允许 4 种 认证 方法 ,分 别 是 基于 数字 签名 的 认证 ,基于 公 钥 加 密 的 认证 、 基 于 修订 
的 公 钥 加 密 的 认证 和 基于 预 共享 密 钥 的 认证 。 


1223 IPSec 的 工作 模式 


在 IPSec 协议 中 有 两 种 工作 模式 : 传输 模式 和 隧道 模式 。 这 两 种 模式 的 区 别 非常 直 
观 , 它 们 保护 的 对 象 不 同 。 传 输 模 式 保 护 的 是 IP 载荷 ,而 隧道 模式 保护 的 是 整个 IP 包 。 

AH 和 ESP 都 支持 这 两 种 工作 模式 ,其 格式 在 两 种 模式 之 间 不 会 发 生变 化 。 协 议和 工 
作 模 式 结合 起 来 有 4 种 组 合 : 传输 模式 下 的 AH ,隧道 模式 下 的 AH 传输 模式 下 的 ESP、 隧 
道 模式 下 的 ESP。 
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1. 传输 模式 


传输 模式 的 保护 对 象 是 IP 载荷 , 即 对 运行 于 IP 层 之 上 的 协议 进行 保护 ,如 TCP .UDP 
或 ICMP 等 。 在 IPv4 中 ,载荷 指 位 于 IP 包头 之 后 的 数据 。 对 于 IPv6 ,载荷 指 IP 包头 和 任 
何 存在 的 IPv6 扩展 包头 (目的 地 址 选项 除外 ) 后 的 数据 ,目的 地 址 选项 是 可 以 和 载荷 数据 一 
起 受到 保护 的 。 

采用 传输 模式 时 , 原 IP 数据 包 的 包头 之 后 的 数据 会 发 生 改变 ,通过 增加 AH 或 ESP 字 
段 来 提供 安全 性 ,但 原 IP 包头 不 变 。 

只 有 在 保障 两 个 主机 的 端 到 端 安全 通信 时 , 才 使 用 传输 模式 。 原 因 很 简单 ,网络 中 的 路 
由 器 主要 通过 检查 IP 包头 来 作出 路 由 选择 ,改变 不 了 IP 包头 之 外 的 数据 内 容 , 因 此 无 法 在 
路 由 的 同时 提供 安全 性 。 

以 传输 模式 工作 的 ESP 协议 可 对 IP 载荷 进行 加 密 并 可 选 地 认证 ,提供 保密 性 和 完整 
性 服务 。 以 传输 模式 工作 的 AH 协议 可 对 IP 载荷 和 JIP 包头 的 一 部 分 选项 进行 认证 ,从 而 











原 IPv4 封 包 : 可 提供 数据 完整 性 和 一 部 分 信息 源 认 证 服务 。 
IP 头 | TCP/UDP 头 | ”数据 1) AH 传输 模式 
AH 传 输 模式 下 IPv4 封 包 : AH 用 于 传输 模式 时 ,保护 的 是 端 到 端的 通信 ， 








原 IP 头 | AH 头 | TcPUDp 头 | 数据 | 通信 终点 必须 是 IPSec 终点 。AH 头 插 在 原始 的 IP 

除 变 长 字段 外 部 要 认证 一 | 头 之 后 ,但 在 IP 数据 包 封装 的 上 层 协议 (如 TCP、 

图 12-4 AH 在 传输 模式 中 的 位 置 。 UDP\ICMP 等 协议 ,或 其 他 IPSec 协议 头 ) 前 , 如 
图 12-4 所 示 。 





一 











2) ESP 传输 模式 
ESP 用 于 传输 模式 时 ,ESP 头 插 在 原始 的 IP 头 后 ,但 在 IP 数据 包 封装 的 上 层 协 议 ( 如 
TCP .UDP ICMP 等 协议 ,或 其 他 IPSec 协议 头 ) 前 ,如 图 12-5 所 示 。ESP 的 头 部 由 SPI 和 
序列 号 字段 组 成 ,而 ESP 尾部 由 填充 项 填充 项 长 度 和 下 一 个 头 字段 组 成 ,并 且 标明 了 数据 
包 被 加 密 和 认证 的 部 分 。 关 于 ESP 的 认证 服务 ,需要 强调 的 是 ,ESP 不 对 整个 IP 包 进 行 认 
证 ,这 一 点 与 AH 是 不 同 的 。 
原 IPv4 封 包 : 
IP 头 | TCP/UDP 头 数据 
ESP 传 输 模式 下 IPv4 封 包 : 
原 IP 头 | ESP 头 | TCP/UDP 头 数据 | ESP 尾 部 
加 密 
- 认证 
图 12-5 ESP 在 传输 模式 中 的 位 置 




















ESP 认 证 数据 


























2. 隧道 模式 


隧道 模式 的 保护 对 象 是 整个 IP 包 。 为 了 实现 这 一 点 ,将 一 个 数据 包 用 一 个 新 的 数据 包 
封装 , 即 在 AH 或 ESP 字段 加 入 到 IP 分 组 后 ,还 要 加 上 一 个 新 的 包头 , 原 数 据 包 加 上 安全 
字段 成 为 新 数据 包 的 载荷 ,因此 得 到 了 完全 的 安全 性 保护 。 不 过 新 的 IP 包头 仍 是 未 加 保护 
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的 。 通 常 将 原 数据 包 的 包头 叫 内 部 包头 ,新 增加 的 包头 叫 外 部 包头 。 内 部 包头 和 外 部 包头 
的 IP 地 址 可 以 不 一 样 ,内 部 包头 由 源 主机 创建 ,而 外 部 包头 是 由 提供 安全 服务 的 那个 设备 
添加 的 。 提 供 安全 服务 的 设备 可 以 是 源 主机 (提供 端 到 端的 安全 服务 ) ,也 可 以 是 网 络 中 的 
路 由 器 或 网 关 设 备 。 

在 数据 包 的 始 发 点 或 目的 地 不 是 安全 终点 的 情况 下 ,需要 在 隧道 模式 下 使 用 IPSec, 如 
安全 保护 能 力 需 要 有 一 个 设备 来 提供 ,该 设备 不 是 数据 包 的 始 发 点 (比如 在 VPN 的 情况 
下 ) ,或 数据 包 需 要 加 密 传 送 到 与 实际 目的 地 不 同 的 另 一 个 目的 地 ,这 时 需要 采用 隧道 模式 。 

隧道 模式 下 IPSec 还 支持 典 套 方式 , 即 可 对 已 经 隧道 化 的 数据 包 再 进行 一 次 隧道 化 处 
理 ,但 嵌 套 隧道 很 难 构 造 和 维护 。 

1) AH 隧道 模式 

在 AH 隧道 模式 中 ,AH 插 在 原 IP 头 之 前 ,并 重新 生成 一 个 新 的 IP 头 放 在 AH 之 前 ， 
如 图 12-6 所 示 。 

原 IPv4 封 包 : 
IP 头 | TCP/UDP 头 | ”数据 
AH 传 输 模式 下 IPv4 封 包 : 
新 IP 头 | AH 头 | 原 IP 头 |rCPUDP 头 | 数据 | 
除 新 IP 头 变 长 字段 外 都 要 认证 一 一 ”| 


12-6 AH 在 隧道 模式 中 的 位 置 





























2) ESP 隧道 模式 

对 于 ESP 隧道 模式 ,ESP 头 插 在 原 IP 头 之 前 ,重新 生成 一 个 新 的 IP 头 放 在 ESP 头 之 
前 ,如 图 12-7 所 示 。 

原 IPv4 封 包 

IP 头 | TCPUDP 头 | 数据 
ESP 传 输 模 式 下 IPv4 封 包 : 
新 IP 头 ESP 头 | 原 IP 头 | TCP/UDP 头 数据 ESP 尾 部 |ESP 认 证 数据 
二 加 密 | 
ey 认证 -=| 


12-7 ESP 在 隧道 模式 中 的 位 置 


















































1224 IPSec 的 应 用 


IPSec 作为 网 络 层 安全 协议 ,实现 了 IP 数据 包 在 网 络 层 的 安全 ,提供 了 较 强 的 数据 完 
整 性 ,机密 性 和 抗 重 放 等 安全 服务 ,能 为 上 层 协 议 提供 透明 的 安全 保护 。 它 的 开放 性 与 灵活 
性 使 其 具有 广泛 的 应 用 领域 与 发 展 前 景 。 

IPSec 是 IPv6 的 基本 组 成 部 分 ,是 IPv6 必须 支持 的 功能 。IPSec 几乎 能 与 任何 类 型 的 
IP 网 络 设备 协调 工作 ,通过 采用 IPSec 和 远程 主机 、 防 火 墙 .安全 网 关 、 路 由 器 的 结合 ,可 以 
构造 出 各 种 网 络 安全 解决 方案 ,能 与 其 他 协议 相 结合 提供 更 强 的 安全 性 。IPSec 能 使 企业 
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在 已 有 的 IP 网络 上 建造 一 个 安全 的 虚拟 专用 网 络 。 实 际 上 ,目前 IPSec 最 主要 的 应 用 就 是 
构建 安全 的 虚拟 专用 网 。 

虚拟 专用 网 (virtual private network, VPN) 是 一 条 穿 过 公用 网 络 的 安全 ,稳定 的 隧道 。 通 
过 对 网 络 数据 的 封包 和 加 密 传输 ,在 一 个 公用 网 络 (通常 是 因特网 ) 建 立 一 个 临时 的 、 安 全 的 连 
接 ,从 而 实现 在 公 网 上 传输 私有 数据 ,达到 私有 网 络 的 安全 级 别 。 通 常 ,VPN 是 对 企业 内 部 网 
的 扩展 ,可 以 帮助 远程 用 户 、 企 业 分 支 机 构 .商业 伙伴 及 供应 商 同 企业 的 内 部 网 建立 可 信 的 安 
全 连接 ,并 保证 数据 的 安全 传输 。VPN 用 于 不 断 增长 的 移动 用 户 的 全 球 因特网 接 人 ,以 实现 
安全 连接 ; 实现 企业 网 站 之 间 安 全 通信 的 虚拟 专用 线路 ,经 济 有 效 地 连接 到 商业 伙伴 和 用 户 。 

利用 IPSec 实现 的 VPN 是 面向 各 局 域 网 通过 公 网 互联 应 用 的 。 具 体 的 实现 方式 是 在 
各 局 域 网 的 网 关 / 边 界 路 由 器 位 置 放置 支持 IPSec 隧道 功能 的 安全 网 关 , 作 为 各 个 局 域 网 的 
代理 ,各 个 安全 网 关 之 间 通过 IPSec 隧道 互联 。 

对 于 隧道 连接 的 起 止 点 位 置 的 选择 ,大致 有 两 种 方式 。 一 是 隧道 连接 终止 在 安全 网 关 
处 ,此 时 IPSec 的 协议 操作 全 部 由 安全 网 关 代 理 完 成 ,整个 VPN 便于 实现 统一 的 管理 和 控 
制 ,用 户 端的 处 理 负担 较 小 ,必须 对 安全 网 关 充 分 信任 ,用 户 信息 在 局 域 网 内 部 以 明文 方式 
送出 ,对 内 网 发 起 的 攻击 无 抵抗 力 ; 二 是 隧道 终止 在 端 用 户 处 ,此 时 用 户 需要 完成 IPSec 的 
安全 设置 ,一般 需要 安装 支持 IPSec 的 客户 端 程序 ,配置 比较 复杂 ,但 可 对 用 户 数据 提供 端 
到 端的 全 程 保护 。 

一 个 典型 的 基于 IPSec 隧道 的 VPN 如 图 12-8 所 示 。 
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12-8 基于 IPSec 的 VPN 


部 门 A 的 主机 X 生 成 一 个 IP 包 ,目的 地 址 是 部 门 B 中 的 主机 Y。 中 间 要 穿 过 不 安全 
的 Internet。 这 个 包 从 起 始 主机 被 发 送 到 部 门 A 的 网 络 边缘 的 安全 路 由 器 (IPSec 网 关 ) 。 
安全 路 由 器 把 所 有 出 去 的 包 过 滤 ,看 看 有 哪些 包 需 要 进行 IPSec 的 处 理 。 如 果 这 个 从 X 到 
Y 的 包 需 要 使 用 IPSec, 安 全 路 由 器 就 进行 IPSec 的 处 理 , 并 添加 外 层 IP 包头 。 

这 个 外 层 包头 的 源 地 址 是 部 门 A 的 安全 路 由 器 ,而 目的 地 址 是 部 门 B 的 网 络 边缘 的 安 
全 路 由 器 。 中 途 的 路 由 器 只 检查 外 层 的 IP 包头 。 部 门 B 的 网 络 的 安全 路 由 器 接收 后 ,会 
外 层 IP 包头 除 掉 , 按 IP 内 层 的 目的 地 址 发 送 到 主机 Y。 

IPSec 为 通过 公共 网 络 传 输 敏感 信息 提供 了 必需 的 机 密 性 、 完 整 性 和 认证 能 力 ,并 具有 
防 重 放 等 抗 攻 击 能 力 。VPN 产品 能 够 让 客户 透明 地 在 网 络 基 础 设施 中 实施 IPSec, 而 不 影 
响 原 网 络 拓扑 结构 以 及 其 他 工作 站 和 PC 的 工作 。 

目前 在 市 场 上 有 很 多 VPN 产品 ,支持 各 种 安全 协议 (如 PPTP、L2TP、IPSec、SSL) , 尤 
其 以 IPSec 协议 为 基础 的 VPN 产品 应 用 成 熟 和 广泛 ,其 中 不 乏 国 内 产品 。 对 于 以 IPSec 技 
术 实 现 的 VPN 产品 ,应 该 具备 下 列 功 能 。 
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(1) IPSec 在 一 个 私有 网 络 中 的 两 个 参与 实体 之 间 提 供 数据 机 密 性 、 完 整 性 和 认证 ， 
VPN 产品 要 支持 ESP 和 AH 格式 。 

(2) IKE 提供 与 安全 相关 的 管理 。IKE 鉴别 IPSec 通信 事务 中 的 每 个 对 等 实体 ,协商 
安全 策略 并 处 理会 话 密 钥 的 交换 。 

(3) 证 书 管理 。VPN 产品 要 支持 用 于 设备 认证 的 X. 509 v3 的 证 书 系统 。 

尽管 目前 对 于 SSL VPN 的 应 用 正在 逐步 推广 中 ,但 IPSec VPN 无 疑 依然 是 目前 VPN 
市 场 上 的 主要 占据 者 。 


123 SSL 协议 


SSL 协议 是 一 种 国际 标准 的 加 密 及 身份 认证 通信 协议 ,最 初 是 为 互联 网 上 保密 文档 传 
送 而 研究 开发 的 ,后 来 成 为 了 Internet 网 上 安全 通信 与 交易 的 标准 。SSL 协议 是 一 个 传输 
层 安全 协议 。 


1231 SSL 协 议 概 述 


SSL 协议 由 Netscape 公司 于 1994 年 11 月 提出 并 率先 实现 , 即 SSL v2. 0 Internet-Draft 
版 本 ,随后 该 版 本 经 历 了 5 次 修改 。1996 年 3 月 ,在 对 SSL v2. 0 进行 重大 改进 的 基础 上 ， 
推出 了 SSL v3.0 Internet-Draft 版 本 。 它 不 仅 解决 了 SSL v2.0 中 存在 的 许多 问题 ,还 改进 
了 它 的 许多 局 限 性 ,并且 支 持 更 多 的 加 密 算法 ,最 终 被 [ETF 所 采纳 ,并 制定 为 传输 层 安全 
(transport layer security,TLS) 标 准 。 该 标准 刚 开 始 制 定时 是 面向 Web 应 用 的 安全 解决 方 
案 , 随 着 SSL 部 署 的 简易 性 和 较 高 的 安全 性 逐渐 为 人 所 知 ,现在 已 经 成 为 Web 上 部 署 最 为 
广泛 的 安全 协议 之 一 。 近 年 来 SSL 的 应 用 领域 不 断 被 拓宽 ,许多 在 网 络 上 传输 的 敏感 信息 
(如 电子 商务 、 金 融 业务 中 的 信用 卡号 或 PIN 码 等 机 密 信息 ) 都 纷纷 采用 SSL 进行 安全 保 
护 。SSL 通过 加 密 传输 确保 数据 的 机 密 性 ,通过 消息 认证 码 保护 信息 的 完整 性 ,通过 数字 
证 书 对 发 送 和 接收 者 的 身份 进行 认证 。 

1. SSL 协议 在 网 络 层次 中 的 位 置 


SSL 协议 涉及 所 有 TCP/IP 应 用 程序 。 该 协议 工作 在 传输 层 之 上 ,应 用 层 之 下 ,其 底层 
是 基于 传输 层 可 靠 的 流传 输 协议 (如 TCP) ,如 图 12-9 所 示 。 





HTTP Telnet SMTP FTP 





























图 12-9 SSL 协议 在 网 络 层 次 中 的 位 置 


SSL 协议 使 用 通信 双方 的 客户 证 书 以 及 CA 根 证 书 , 人 允许 客户 机 /服务 器 以 一 种 不 能 被 
偷 听 的 方式 通信 ,在 通信 双方 间 建 立 起 了 一 条 安全 的 、 可 信任 的 通信 通道 。 该 协议 使 用 密 钥 
对 传送 数据 加 密 ,许多 网 站 都 是 通过 这 种 协议 从 客户 端 接收 信用 卡 编号 等 保密 信息 。 它 被 
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认为 是 最 安全 的 在 线 交易 模式 ,目前 在 电子 商务 领域 应 用 很 广 , 并 被 许多 世界 知名 厂商 的 
Intranet 和 Internet 网 络 产品 所 支持 ,其 中 包括 Netscape、Microsoft、IBM、Open Market 等 
公司 提供 的 支持 SSL 协议 的 客户 机 和 服务 器 产品 ,如 IE 和 Netscape 浏览 器 ,IS、Domino 
Go Web Server、Netscape Enterprise Server 和 Apache 等 Web 服务 器 。 


2. SSL 协议 提供 的 服务 


SSL 安全 协议 主要 提供 三 方面 的 服务 。 

1) 客户 机 和 服务 器 的 合法 性 认证 。 认 证 客户 和 服务 器 的 合法 性 ,使 得 它们 能 够 确信 数 
据 将 被 发 送 到 正确 的 客户 机 和 服务 器 上 。 客 户 机 和 服务 器 都 有 各 自 的 识别 号 ,这 些 识别 号 
由 公 钥 进行 编号 ,为 了 验证 客户 是 否 合法 ,SSL 要 求 在 握手 交换 数据 时 进行 数字 认证 ,以 此 
确保 客户 的 合法 性 。 

2) 加 密 数 据 以 隐藏 被 传送 的 数据 。SSL 所 采用 的 加 密 技 术 既 有 对 称 密 钥 技术 ,也 有 公 
钥 技 术 。 在 客户 机 与 服务 器 进行 数据 交换 之 前 ,交换 SSL 初始 握手 信息 ,在 SSL 握手 信息 
中 采用 了 各 种 加 密 技术 对 其 加 密 ,以 保证 其 机 密 性 和 完整 性 ,并 且 用 数字 证 书 进行 认证 ,这 
样 就 可 以 防止 非法 客户 进行 破译 。 

3) 保护 数据 的 完整 性 。SSL 采用 Hash 函数 和 机 密 共 享 的 方法 提供 信息 的 完整 性 服 
务 ,建立 客户 机 与 服务 器 之 间 的 安全 通道 ,使 所 有 经 过 SSL 处 理 的 业务 在 传输 过 程 中 能 全 
部 完整 准确 无 误 地 到 达 目 的 地 。 

SSL 协议 的 优点 在 于 它 是 与 应 用 层 协 议 无 关 的 。 高 层 的 应 用 协议 (如 HTTP、FTP、 
Telnet 等 ) 能 透明 地 建立 于 SSL 协议 之 上 。SSL 协议 在 应 用 层 协议 之 前 就 已 经 完成 加 密 算 
法 .通信 密 钥 的 协商 以 及 服务 器 的 认证 工作 。 在 此 之 后 应 用 层 协议 所 传送 的 数据 都 会 被 加 
密 , 从 而 保证 通信 的 安全 性 。 

3. SSL 工作 流程 


SSL 对 通信 过 程 进行 安全 保护 ,其 实现 过 程 主要 经 过 如 下 几 个 阶段 。 

1) 接 通 阶段 : 客户 机 通过 网 络 向 服务 器 打招呼 ,服务 器 回应 。 

2) 密码 交换 阶段 : 客户 机 与 服务 器 之 间 交 换 双 方 认可 的 密码 ,一 般 选用 RSA 密码 算 
法 ,也 有 的 选用 Diffie-Hellman 和 Fortezza-KEA 密码 算法 。 

3) 会 话 密码 阶段 : 客户 机 与 服务 器 间 产 生 彼 此 交谈 的 会 话 密码 。 

4) 检验 阶段 : 客户 机 检验 服务 器 取得 的 密码 。 

5) 客户 认证 阶段 : 服务 器 验证 客户 机 的 可 信和 度 。 

6) 结束 阶段 : 客户 机 与 服务 器 之 间 相 互 交换 结束 的 信息 。 

当 上 述 动作 完成 后 ,两 者 间 的 资料 传送 就 会 加 密 ,另外 一 方 收 到 资料 后 ,再 将 加 密 资料 
还 原 。 即 使 盗窃 者 在 网 络 上 取得 加 密 后 的 资料 ,如 果 没 有 原先 编制 的 密码 算法 和 密码 ,也 不 
能 获得 可 读 的 有 用 资料 。 

发 送 时 信息 用 对 称 密 钥 加 密 ,对 称 密 钥 用 非 对 称 算法 加 密 , 再 把 两 个 包 绑 在 一 起 传送 过 
去 。 接 收 的 过 程 与 发 送 正好 相反 , 先 打开 有 对 称 密 钥 的 加 密 包 ,再 用 非 对称 密 钥 解 密 。 


1232 SSL 协 议 的 分 层 结构 


SSL 的 设计 概念 是 希望 使 用 TCP 提供 一 个 可 靠 的 端 对 端的 安全 服务 。SSL 并 不 是 单 
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一 的 协议 ,而 是 由 二 层 协 议 组 成 。 

SSL 协议 具有 两 层 结构 ,其 底层 是 SSL 记录 协议 层 (SSL record protocol layer) ,简称 
记录 层 。 其 高 层 是 SSL 握手 协议 层 (SSL handshake protocol layer), 简称 握手 层 , 如 
图 12-10 所 示 。 





应 用 层 协 议 (HTTP 、Telnet 、FTP 、SMTP 等 ) 








SSL 握 手 协议 
SSL 记 录 协 议 


1 


TCP 协 议 


1 


IP 协 议 





js 























图 12-10 SSL 协议 的 分 层 结构 


握手 层 允许 通信 实体 在 应 用 SSL 协议 传送 数据 前 相互 认证 身份 ,协商 加 密 算 法 、 生 成 
密 钥 等 。 记 录 层 则 封装 各 种 高 层 协议 ,具体 实施 压缩 与 解压 缩 、 加 密 与 解密 、 计 算 与 验证 消 
息 认 证 码 (MAC) 等 与 安全 有 关 的 操作 。 
SSL 协议 定义 了 两 个 通信 主体 : 客户 机 (client) 和 服务 器 (server)。 其 中 ,客户 是 协议 
的 发 起 者 。 在 SSL 协议 中 定义 的 客户 和 服务 器 与 通常 讲 的 客户 机 /服务 器 (C/S) 结 构 中 的 
客户 和 服务 器 的 含义 不 同 。 在 客户 机 /服务 器 结构 中 ,应 用 层 从 请 求 服务 和 提供 服务 的 角度 
定义 客户 和 服务 器 ,而 SSL 协议 则 从 建立 加 密 参 数 的 过 程 中 所 扮演 的 角色 来 定义 客户 和 服 
务 器 。 当 SSL 协议 与 客户 机 /服务 器 结构 结合 使 用 时 ,客户 机 /服务 器 结构 中 的 客户 应 用 其 
下 方 的 SSL 协议 ,以 SSL 协议 的 客户 身份 运行 ; 客户 机 /服务 器 结构 中 的 服务 器 应 用 其 下 
方 的 SSL 协议 ,以 SSL 协议 的 服务 器 身份 来 运行 。 
SSL 两 个 最 重要 的 概念 是 SSL connection 与 SSL session。 它 们 分 别 被 定义 如 下 。 
(1) 连接 (connection) : 一 个 在 传输 层 协议 上 的 传输 媒介 (在 OSI 分 层 模 型 的 定义 中 ) 。 
它 提 供 一 个 适当 的 服务 。 在 SSL 中 ,这 些 连接 就 是 Peerto-Peer 间 的 关系 ,而 且 是 短暂 的 。 
连接 建立 在 会 话 的 基础 上 ,每 个 连接 与 一 个 会 话 相 关联 ,并 对 应 到 一 个 会 话 。 
(2) 会 话 (session) : SSL 会 话 建立 客户 与 服务 器 之 间 的 一 个 关联 (association) 。 每 一 组 客 
户 端 与 服务 器 之 间 就 是 一 个 SSL session。SSL session 是 由 Handshake 协议 来 产生 。 这 些 会 
话 定义 一 组 以 密码 为 基础 的 安全 性 参数 ,这 些 参 数 能 够 由 多 个 连接 来 共同 使 用 。 也 就 是 说 ,使 
用 会 话 能 够 避免 每 次 有 新 的 连接 时 ,都 得 重新 协调 安全 性 参数 的 过 程 , 从 而 大 大 减少 开销 。 
连接 与 会 话 之 间 的 关系 如 图 12-11 所 示 ,在 任意 一 对 通信 主体 之 间 , 可 以 有 多 个 安全 连接 。 
连接 1 连接 1 
连接 2 会 话 连接 2 
连接 n 连 按 n 


图 12-11 SSL 的 会 话 与 连接 
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任何 一 对 正在 互动 的 应 用 程序 中 (如 客户 端 与 服务 器 上 的 HTTP 应 用 程序 ) ,其 间 可 能 
包含 一 条 以 上 的 安全 性 连接 。 理 论 上 ,它们 之 间 也 可 以 同时 拥有 多 个 会 话 , 但 是 这 个 情况 在 
实际 应 用 上 使 用 比较 少 。 

每 一 个 会 话 都 会 有 几 种 状态 (state) 。 当 会 话 刚 建 立时 ,其 运作 状态 属于 读 取 (read) 及 
写 人 (write)( 也 就 是 接收 以 及 传送 ) 。 除 此 之 外 , 当 Handshake 协议 正在 进行 时 ,会 发 生 即 
将 读 取 (pending read) 以 及 即将 写 入 (pending write) 状 态 。 一 旦 Handshake 协议 执行 成 功 
后 ,这 些 pending state 便 会 取代 成 为 目前 的 状态 。 

每 一 个 会 话 的 状态 包含 以 下 参数 ( 取 自 SSL 规格 书 中 的 定义 ) 。 

(1) Session identifier( 会 话 标识 符 ): 由 服务 器 所 选 定 的 任意 字 节 序列 。 会 话 标识 符 能 
够 用 来 辨别 某 一 个 正在 进行 (active) 的 会 话 状态 或 者 是 可 恢复 (resumable) 的 会 话 状态 。 

(2) Peer certificate( 对 方 认 证 ): 客户 和 服务 器 的 X509. v3 格式 证 书 。 这 个 参数 可 以 
为 null, 视 是 否 验 证 服务 器 或 客户 而 定 。 

(3) Compression method( 压 缩 算法 ): 用 于 加 密 前 对 数据 进行 压缩 。 

(4) Cipher spec( 密 码 规格 ) : 指 握 手 协议 协商 的 一 套 加 密 参 数 ,包括 数据 加 密 算法 以 及 
计算 消息 认证 码 (MAC) 所 使 用 的 杂凑 算法 (如 MD5 或 SHA-1) 。 

(5) Master secret( 主 密 钥 ): 由 客户 端 与 服务 器 所 共有 的 密 钥 ,长 度 为 48 字 节 。 

(6) Is resumable: 一 个 标识 ,说 明 一 个 会 话 是 否 可 恢复 , 即 这 个 session 是 否 能 在 将 来 
被 用 来 建立 新 的 连接 。 

每 一 个 连接 的 状态 包含 以 下 参数 。 

(1) Server and client random: 每 一 次 进行 连接 时 ,由 服务 器 与 客户 端 随机 选 定 的 字 节 
序列 。 

(2) Server write MAC secret: 服务 器 用 来 参与 计算 消息 认证 码 的 密 钥 。 当 有 数据 要 
从 服务 器 端 送 出 时 ,服务 器 会 利用 该 参数 算出 MAC, 数 据 一 并 送出 。 它 是 客户 的 read 
MAC secret 。 

(3) Client write MAC secret: 客户 端 用 来 计算 消息 认证 码 的 密 钥 。 当 有 数据 要 从 客户 
端 送出 时 ,客户 端 会 利用 该 参数 算出 MAC, 与 数据 一 并 送出 。 它 是 服务 器 的 read MAC 
Secret。 

(4) Server write key: 服务 器 用 于 加 密 数据 .客户 用 于 解密 数据 的 对 称 加 密 密 钥 。 

(5) Client write key: 客户 用 于 加 密 数据 、 服 务 器 用 于 解密 数据 的 对 称 加 密 密 钥 。 

(6) Initialization vector( 初 始 向 量 ): 使 用 DES 的 CBC 模式 做 区 块 加 密 时 ,需要 为 每 
支 密 钥 产生 一 个 初始 向 量 (IV) 当 作 第 一 个 区 块 的 输入 。 这 个 字段 首先 会 由 Handshake 协 
议 来 初始 化 其 值 。 

(7) Sequence number: 序列 号 ,每 一 次 连接 时 ,每 一 方 都 要 为 其 传送 的 消息 以 及 接收 的 
消息 准备 不 同 的 序列 号 。 当 有 一 方 送 出 或 者 是 收 到 change cipher spec 消息 时 ,就 会 将 相应 
方向 上 的 序列 号 设 定 为 0。 

SSL 协议 使 用 两 个 相互 独立 的 128 位 的 密 钥 , 即 server write key 和 client write key， 
分 别 用 于 同一 连接 的 两 个 方向 上 的 加 解密 。 同 样 ,也 使 用 两 个 相互 独立 的 128 位 MAC 密 
钥 , 即 Server write MAC secret 和 Client write MAC secret. 分 别 用 于 同一 连接 的 两 个 方向 
上 的 MAC 操作 。 
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1233 SQL 握手 协议 


Handshake 协议 为 SSL 中 最 复杂 的 一 部 分 。 这 个 协议 主要 用 来 让 客户 端 及 服务 器 确 
认 彼 此 的 身份 。 除 此 之 外 ,为 了 保护 SSL 记录 封包 中 传送 的 数据 ,Handshake 协议 还 能 协 
助 双方 选择 连接 时 所 使 用 的 加 密 算 法 .MAC 算法 及 相关 密 钥 。 在 传送 应 用 程序 的 数据 前 ， 
必须 使 用 Handshake 协议 来 完成 上 述 事项 。 

Handshake 由 一 些 客户 与 服务 器 交换 的 消息 所 构成 ,每 一 个 消息 都 含有 以 下 三 个 字段 。 

(1) 类 型 (type) ,1 个 字 节 : 表示 消息 的 类 型 ,总 共有 十 种 。 在 表 12-1 中 列 出 了 这 些 已 
经 定义 的 消息 种 类 。 

(2) 长 度 (length) ,3 个 字 节 : 消息 的 位 组 长 度 。 

(3) 内 容 (content) ,大 于 或 等 于 1 个 字 节 ,与 此 消息 有 关 的 参数 , 表 12-1 所 示 为 所 有 可 
能 的 参数 。 

表 12-1 SSL Handshake 协议 消息 类 型 





消息 种 类 参数 
hello_request Null 
client_hello Version, random , session id, cipher suite, compression method 
server_hello Version, random, session id, cipher suite,compression method 
certificate 一 连 串 的 X. 509 v3 的 证 书 
Server_key_exchange Parameters signature 
certificate_request Type,authorities 
server_done Null 
certificate_verify Signature 
client_key_exchange Parameters, signature 
finished Hash value 


图 12-12 所 示 为 客户 端 与 服务 器 要 产生 一 条 新 连接 时 ,所 要 进行 的 初始 交换 过 程 。 这 
个 交换 过 程 可 以 视 为 4 个 阶段 , 即 建立 安全 能 力 、 服 务 器 认证 与 密 钥 交 换 、 客 户 端 认证 与 密 
钥 交 换 、 完 成 。 


1. 建立 安全 能 力 


这 个 阶段 的 主要 工作 是 要 建立 一 条 逻辑 连接 ,以 及 与 这 个 连接 有 关 的 安全 功能 。 整 个 
交换 过 程 由 客户 端 送 出 一 个 client_hello 消息 来 开启 ,这 个 消息 含有 下 面 几 个 参数 。 

(1) Version( 版 本 ): 客户 端 能 够 用 的 SSL 最 高 版 本 。 

(2) Random( 随 机 值 ): 一 个 由 客户 端 产生 的 随机 结构 ,包含 一 个 32 位 长 的 时 间 戳 ,以 
及 一 个 由 随机 数 产生 器 所 产生 的 28 字 节 长 的 数字 。 

(3) Session ID( 会 话 标识 符 ) : 不 定 长 度 的 session 识别 码 。 如 果 Session ID 字段 填 上 
任何 非 零 的 数值 ,就 表示 客户 端 想 继续 使 用 上 一 个 SSL 连接 ,并 且 更 新 此 连接 的 参数 ,或 者 
在 目前 的 session 产生 一 个 新 的 连接 。 如 果 此 字段 的 值 为 零 . 则 表示 客户 端 希 望 重新 建立 一 
个 新 的 session ,并 且 产 生 一 个 新 的 连接 。 
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图 12-12 客户 端 与 服务 器 的 初始 交换 过 程 


(4) CipherSuit( 密 码 套件 ) : 客户 端 能 够 支持 的 加 密 算法 列表 ,这 个 列表 会 根据 使 用 优先 级 
由 大 到 小 排列 。 在 这 列表 上 的 每 一 个 密码 套件 都 会 定义 其 使 用 的 密 钥 交换 算法 以 及 加 密 算 法 。 

(5) Compression Methods( 压 缩 算 法 ): 客户 端 能 够 支持 的 压缩 算法 列表 。 

当 客 户 端 送出 client_hello 消息 后 ,会 等 待 服务 器 响应 一 个 server_hello 消息 。 这 个 消 
息 所 包含 的 参数 与 client_hello 消息 夹带 的 参数 相同 。 对 于 server_hello 消息 来 说 ,每 个 字 
段 用 法 如 下 。 

(1) Version: 服务 器 允许 客户 端 使 用 的 SSL 版 本 。 这 个 版 本 为 客户 端 以 及 服务 器 双 
方 都 能 支持 的 最 高 版 本 。 

(2) Random: 由 服务 器 所 产生 的 随机 结构 。 与 客户 端 所 产生 的 随机 结构 类 似 ,但 彼此 独立 。 

(3) Session ID: 假如 客户 端 传送 过 来 的 Session ID 字段 为 非 零 的 数值 ,那么 服务 器 会 
将 这 个 字段 的 值 设 定 成 客户 端 所 指定 的 Session ID。 否 则 服务 器 将 会 提供 客户 端 新 的 会 
话 ,并 为 此 字段 填 上 代表 这 个 新 会 话 的 标识 符 。 

(4) CipherSuit: 服务 器 从 客户 端 所 提供 的 密码 套件 列表 中 挑 出 的 加 密 算法 组 合 。 

(5) Compression Method: 服务 器 从 客户 端 所 提供 的 压缩 方法 列表 中 挑 出 的 方法 。 

密码 套件 参数 所 包含 的 第 一 个 元 素 为 密 钥 交换 的 算法 (传统 加 密 以 及 计算 消息 认证 码 
时 所 会 用 到 的 密 钥 的 交换 方式 )。 有 以 下 几 种 提供 的 密 钥 交 换算 法 。 

(1) RSA: 由 接收 端的 公开 密 钥 将 密 钥 加 密 起 来 。 为 了 事先 得 知 接收 端的 公开 密 钥 ， 
其 公开 密 钥 的 证 书 必须 要 能 让 发 送 端 取得 。 
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(2) Fixed Diffie-Hellman: Diffie-Hellman 密 钥 交换 法 。 服 务 器 的 证 书 中 会 包含 经 认 
证 机 构 签署 过 的 Diffie-Hellman 公开 密 钥 参数 。 假 如 需要 对 客户 端 做 认证 , 则 客户 端 会 将 
Diffie-Hellman 公开 密 钥 参数 包含 在 证 书 内 ,否则 客户 端 会 将 这 些 参数 放 在 密 钥 交换 的 消 
息 中 。 由 这 个 方法 ,使 用 固定 的 公开 密 钥 经 过 Diffie-Hellman 算法 计算 后 ,双方 会 建立 起 一 
个 固定 的 密 钥 。 

(3) Ephemeral Diffie -Hellman: 这 个 方法 是 用 来 产生 短暂 的 (Ephemeral) 密 钥 。 
Diffie-Hellman 公开 密 钥 会 利用 传送 者 私人 RSA 密 钥 或 是 DSS 密 钥 做 签署 ,并 且 互 相交 
换 。 接 收 者 随后 便 能 使 用 对 应 的 公开 密 钥 来 核对 这 个 签名 。 除 此 之 外 ,接收 者 也 能 利用 证 
书 确 认 公 开 密 钥 的 真实 性 ,这 将 会 是 Diffie-Hellman 三 种 选择 方式 中 最 安全 的 一 种 ,因为 它 
所 产生 的 是 一 把 短暂 并 且 经 过 验证 的 密 钥 。 

(4) Anonymous Diffie-Hellman: 基本 上 使 用 Diffie-Hellman 算法 ,但 是 不 经 过 认证 。 
也 就 是 说 ,双方 都 会 将 自己 的 Diffie-Hellman 公开 参数 在 没有 经 过 认证 的 程序 下 ,直接 传送 
给 对 方 。 这 个 方式 很 有 可 能 受到 中 间 人 攻击 (man-in-the-middle attack) ,攻击 者 可 以 向 双 
方 发 起 匿名 的 Diffie-Hellman 交换 攻击 。 

(5) Fortezza: 在 Fortezza 架构 中 所 定义 的 方法 。 

CipherSpec 参数 包含 以 下 这 些 字段 。 

OO CipherAlgorithm: 加 密 算法 。 如 RC4,RC2,DES,3DES,DES40,IDEA,Fortezza。 

@ MACAlgorithm: 消息 认证 算法 。MD5 或 是 SHA-1。 

@ CipherType: 加 密 类 型 。 串 流 式 或 区 块 式 。 

@ IsSExportable: 真 或 伪 。 

@ HashSize: Hash 值 长 度 。16 字 节 (使 用 MD5 时 ) 或 20 字 节 (使 用 SHA-1 时 )。 

@ Key Material: 用 来 产生 写 和 人 密 钥 的 数据 。 

@ IV size: CBC 加 密 模式 中 ,初始 向 量 的 长 度 。 


2. 服务 器 认证 与 密 钥 交 换 


当 服 务 器 送出 server_hello 消息 后 ,或 客户 端 需要 验证 服务 器 的 身份 时 ,服务 器 可 以 将 
其 证 书 资料 传送 给 客户 端 , 它 可 能 是 单一 (同一 领域 ) 或 者 是 一 连 串 的 ( 跨 领域 )X. 509 证 书 。 
除了 使 用 匿名 Diffie-Hellman 密 钥 交 换算 法 ,任何 一 种 密 钥 交换 程序 都 需要 一 个 证 书 消息 
(certificate message) 。 请 注意 ,假如 使 用 fixed Diffie-Hellman 法 , 则 这 个 证 书 消息 的 功能 
就 如 同 服务 器 的 密 钥 交 换 消息 ,因为 此 消息 包含 了 服务 器 的 Diffie-Hellman 公开 参数 值 。 

接着 ,假如 有 需要 ,服务 器 会 送出 server_key_exchange 消息 。 在 下 面 的 两 种 情况 下 , 服 
务 器 不 需要 送出 这 个 消息 : 服务 器 已 经 送出 包含 fixed Diffie-Hellman 参数 的 证 书 ; 使 用 
RSA 密 钥 交换 算法 。 


3. 客户 端 认证 与 密 钥 交换 


当 客 户 端 收 到 服务 器 送出 的 server_done 消息 后 ,首先 ,假如 有 需要 ,客户 端 应 该 核对 
服务 器 提供 的 证 书 是 否 正 确 , 接 着 再 确认 server_done 消息 中 所 携带 的 参数 是 否 能 够 接受 。 
如 果 这 些 都 能 满足 的 话 , 则 客户 端 会 响应 一 个 或 多 个 消息 给 服务 器 。 

如 果 之 前 服务 器 发 出 certificate_request 消息 ,要 求 客 户 端 送出 自己 的 证 书 ,那么 客户 
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端 就 得 先 响应 一 个 certificate 消息 给 服务 器 。 如 果 客 户 端 没 有 适当 的 证 书 可 以 提供 , 则 会 
改 送 一 个 no_certificate 消息 给 服务 器 。 

接着 ,下 一 个 交换 的 消息 是 client_key_exchange 消息 。 在 第 三 阶段 中 ,一 定 要 送出 这 
个 消息 ,至 于 其 内 容 则 要 看 客户 端 所 选 定 的 公开 密 钥 算法 类 型 而 定 , 如 : 

(1) RSA: 客户 端 先 产生 一 个 48 B 长 的 pre-master secret。 然 后 , 若 服务 器 提供 其 他 的 
证 书 , 则 利用 此 证 书 内 的 公开 密 钥 将 此 密 钥 加 密 ,不 然 就 用 server_key_exchange 消息 中 携 
带 的 暂时 性 RSA 密 钥 来 加 密 。 这 个 “预先 的 ” 密 钥 能 够 用 来 产生 master secret。 

(2) Ephemeral 或 Anonymous Diffie-Hellman: 车 使 用 这 两 种 算法 , 则 客户 端 传送 自己 
的 公开 Diffie-Hellman 参数 。 

(3) Fixed Diffie-Hellman: 车 使 用 这 种 算法 , 则 之 前 客户 端 在 传送 证 书 消息 时 ,就 已 经 包 
含 了 自己 的 公开 Diffie-Hellman 参数 。 所 以 client_key_exchange 消息 这 时 内 容 就 会 是 空 的 。 

(4) Fortezza: 客户 端 传送 自己 的 Fortezza 参数 。 

若 之 前 客户 端 需要 传送 自己 的 证 书 , 则 在 这 个 阶段 的 最 后 ,也 会 连带 送出 一 个 
certificate_verify 消息 给 服务 器 ,以 便 提供 此 证 书 的 明确 证 明 , 而 这 个 证 明 就 是 一 个 根据 之 
前 消息 所 计算 出 的 Hash 值 。 这 个 消息 只 有 客户 端 证 书 拥有 签名 能 力 时 (除了 那些 包含 
fixed Diffie-Hellman 参数 的 证 书 以 外 的 所 有 证 书 ), 才 会 跟着 送出 。 因 此 消息 会 对 此 Hash 
值 做 签名 ,定义 如 下 : 

CertificateVerify. signature.md5_hash 

MD5(master_secret || pad 2 || MD5(handshake messages || master-secret | pad 1)); 

Certificate. signature. sha_hash 

SHA(master_secret || pad 2 || SHA(handshake messages || master-secret | pad 1)); 
其 中 ,pad_1 与 pad_2 是 之 前 为 MAC 所 定义 的 值 。 从 client_hello 消息 开始 后 ,所 有 通过 
Handshake 协议 所 传送 或 接收 的 消息 都 属于 handshake_messages。master_secret 是 一 个 
经 过 计算 的 密 钥 。 假 如 使 用 者 的 数字 签名 是 DSS, 则 这 个 密 钥 将 会 用 来 加 密 SHA-1 Hash 值 
串 接 后 的 结果 。 不 管 哪 一 种 情形 ,其 目的 都 是 希望 利用 客户 端的 证 书 来 核对 客户 端 是 否 拥 
有 正确 的 私 钥 。 就 算 有 人 滥用 客户 端的 证 书 , 因 为 他 没有 正确 的 客户 端 私 钥 , 所 以 也 没有 办 
法 送出 这 个 certificate_verify 消息 。 


4. 完成 


这 个 阶段 完成 了 建立 一 条 安全 连接 所 应 该 做 的 设 定 工作 。 客 户 端 会 送出 一 个 change_ 
cipher_spec 消息 ,并 且 将 目前 的 密码 套件 状态 更 新 成 即将 要 使 用 的 密码 套件 状态 。 请 注 
意 ,这 个 消息 并 不 属于 Handshake 协议 的 一 部 分 ,而 是 利用 加 密 算 法 修正 协议 所 送出 的 消 
息 。 紧 接着 ,客户 端 利用 之 前 与 服务 器 协议 而 得 到 的 算法 、 密 钥 , 来 传送 最 后 的 finished 消 
息 。 这 个 消息 用 来 证 明 密 钥 交换 以 及 认证 的 过 程 已 经 顺利 完成 ,其 内 容 包 含 两 个 Hash 值 : 

MD5(master_secret || pad 2 || MD5(handshake messages || Sender | master-secret | pad 1)); 

SHA(master_secret || pad 2 || SHA(handshake messages || Sender | master-secret | pad_1)); 
其 中 ,Sender 是 一 个 代码 ,用 来 表示 此 消息 为 客户 端 所 发 出 。 除 了 这 个 finished 消息 以 外 ， 
handshake_messages 包含 所 有 经 由 handshake 消息 所 传送 的 数据 。 

为 了 响应 这 两 个 消息 ,服务 器 会 传送 自己 的 change_cipher_spec 消息 ,并 且 将 目前 的 密 
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码 套件 状态 更 新 为 即将 要 使 用 密码 套件 状态 ,最 后 再 送出 finished 消息 。 当 这 些 handshake 
的 步骤 都 完成 后 ,客户 端 与 服务 器 就 能 开始 传送 应 用 层 的 数据 了 。 


1234 SSL 记 录 协 议 


SSL 记录 协议 为 每 一 个 SSL 连接 提供 以 下 两 种 服务 。 

(1) 机 密 性 (confidentiality): SSL 记录 协议 会 协助 双方 产生 一 把 共有 的 密 钥 ,利用 这 
把 密 钥 对 SSL 所 传送 的 数据 做 传统 式 加 密 。 

(2) 消息 完整 性 (message integrity): SSL 记录 协议 会 协助 双方 产生 男 一 把 共有 的 密 
钥 , 利 用 这 把 密 钥 来 计算 消息 认证 码 。 

图 12-13 所 示 为 SSL 记录 协议 大 致 的 操作 流程 。 记 录 协 议 接收 到 应 用 程序 所 要 传送 的 
消息 后 ,会 将 消息 内 的 数据 切 成 容易 管理 的 小 区 块 (分 片 ) ,然后 选择 是 否 对 这 些 区 块 作 压 
缩 , 再 加 上 此 区 块 的 消息 认证 码 。 接 着 将 数据 区 块 与 MAC 一 起 做 加 密 处 理 ,加 上 SSL 记录 
头 后 通过 TCP 传送 出 去 。 接 收 数据 的 那 一 方 则 以 解释 、 核 查 .解压 缩 , 及 重组 的 步骤 将 消息 
的 内 容 还 原 ,传送 给 上 层 使 用 者 。 
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12-13 SSL 记录 协议 运作 模式 


1. 分 片 与 压缩 


第 一 个 步骤 是 分 片 (fragmentation) 。 每 一 个 上 层 想 要 通过 SSL 传送 的 消息 都 会 被 切 
割 成 最 多 214B( 或 者 是 16 364B) 大 小 的 分 片 ,接着 ,可 以 选择 是 否 执行 压缩 CCompression) 
的 步 又。 压缩 的 过 程 中 ,必须 是 无 损失 (Lossless) 压 缩 , 也 就 是 说 解压 缩 后 能 够 得 到 原本 完 
整 的 消息 。 除 此 之 外 ,经 过 压缩 后 的 内 容 长 度 不 能 超过 原 有 长 度 1 024 字 节 以 上 (当然 ,我 
们 希望 压缩 后 的 数据 能 够 更 小 ,而 不 是 增多 。 但 对 于 有 些 长 度 非常 小 的 分 片 来 说 ,可 能 因为 
压缩 算法 格式 上 的 要 求 ,压缩 过 后 的 结果 会 比 原来 数据 还 长 )。 在 SSL v3( 以 及 TLS 的 现 
有 版 本 ) ,并 没有 指定 压缩 算法 ,所 以 预 设 的 加 算法 是 null。 


2. 产生 消息 认证 码 

接 下 来 的 处 理 步 骤 为 计算 压缩 数据 的 消息 认证 码 。 为 了 达到 这 个 目的 ,必须 使 用 一 把 
双方 共有 的 密 钥 。 消 息 认 证 码 的 计算 过 程 定义 如 下 : 

hash (MAC _ write _ secrte ‖ pad _1 | seq _ mum | SSLCompressed. type | 
SSLCompressed. length ‖ SSLCompressed. fragment) ,其 中 ,各 符号 和 参数 的 意义 如 下 。 

(1) | : 表示 串 接 。 
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(2) MAC _write_secrte: 共有 的 密 钥 。 

(3) Hash: 使 用 密码 的 杂凑 算法 ; MD5 或 SHA-1。 

(4) pad_1: 若是 使 用 MD5 , 则 为 0x36(00110110) 字 节 重 复 48 次 的 384 位 分 片 ,若是 用 
SHA-1, 则 为 0x36 重复 40 次 的 320 位 分 片 。 

(5) pad_2: 若是 使 用 MD5, 则 为 0x5C(01010110) 字 节 重复 48 次 的 384 位 分 片 ,若是 
用 SHA-1, 则 为 0x36 重复 40 次 的 320 位 分 片 。 

(6) seq_mum: 这 个 消息 的 序列 号 码 。 

(7) SSLCompressed. type: 用 来 处 理 这 个 分 片 的 上 层 协议 。 

(8) SSLCompressed. length: 分 片 经 过 压缩 过 后 的 长 度 。 

(9) SSLCompressed. fragment: 经 过 压缩 后 的 分 片 (假如 没有 经 过 压缩 这 个 步骤 , 则 代 
表明 文 分 片 ) 。 


3. 加 密 


压缩 过 后 的 数据 会 连同 MAC 一 起 做 对 称 加 密 。 加 密 后 的 数据 长 度 最 多 只 能 比 加 密 前 多 
1024B, 因 此 ,连同 压缩 以 及 加 密 的 过 程 处 理 完 后 ,整个 数据 块 长 度 不 会 超过 (214 十 2048)B。 


4. 加 SSL 记录 协议 头 


SSL 记录 协议 最 后 的 步骤 便 是 准备 一 个 记录 头 ,这 个 记录 头 包 含 以 下 的 字段 。 

(1) 数据 类 型 (content type) ,8 位 : 用 来 处 理 这 个 分 片 的 上 层 协 议 。 

(2) 主要 版 本 号 (major version) ,8 位 : 所 使 用 的 SSL 协议 的 主要 版 本 ,对 于 SSL v3 
协议 来 说 ,这 个 字段 值 为 3。 

(3) 次 要 版 本 号 (minor version) ,8 位 : 表示 使 用 的 次 要 版 本 ,对 于 SSL v3 协议 来 说 ， 
这 个 字段 值 为 0。 

(4) 压缩 后 数据 长 度 (compressed length) ,16 位 : 这 个 明文 分 片 的 长 度 ( 假 如 此 分 片 已 
经 过 压缩 , 则 为 压缩 后 的 长 度 ) 。 最 大 值 为 (214 十 2 048)B。 

已 定义 的 数据 类 型 包含 Change_cipher_spec alert\handshake, 以 及 application_data。 
前 三 种 数据 类 型 为 SSL 所 定义 的 协议 。 请 注意 .上 层 各 种 使 用 SSL 的 应 用 程序 对 于 SSL 
来 说 并 没有 什么 差别 ,因为 SSL 无 法 了 解 这 些 应 用 程序 所 产生 的 数据 的 意义 。 


1235 SSL 协 议 安 全 性 分 析 


SSL 协议 是 为 解决 数据 传输 的 安全 问题 而 设计 的 ,实践 也 证 明了 它 针 对 窃听 和 其 他 的 
被 动 攻 击 相 当 有 效 , 但 是 由 于 协议 本 身 的 一 些 缺 陷 以 及 在 使 用 过 程 中 的 不 规范 行为 ,SSL 
协议 仍然 存在 不 可 忽略 的 安全 脆弱 性 。 


1. SSL 协议 自身 的 缺陷 


SSL 协议 的 缺陷 主要 表现 在 以 下 几 个 方面 。 

1) 客户 端 假冒 

因为 SSL 协议 的 设计 初衷 是 对 Web 站 点 及 网 上 交易 进行 安全 性 保护 ,使 消费 者 明白 
正在 和 谁 进 行 交 易 要 比 使 商家 知道 谁 正在 付费 更 为 重要 ,为 了 不 至 于 由 于 安全 协议 的 使 用 
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而 导致 网 络 性 能 大 幅 下 降 , SSL 协议 并 不 是 默认 地 要 求 进行 客户 认证 ,这 样 做 虽然 有 悖 于 
安全 策略 ,但 却 促进 了 SSL 的 广泛 应 用 。 针 对 这 个 问题 ,可 在 必要 的 时 候 配置 SSL 协议 ,使 
其 选择 对 客户 端 进行 认证 鉴别 。 

2) SSL 协议 无 法 提供 基于 UDP 应 用 的 安全 保护 

SSL 协议 需要 在 握手 之 前 建立 TCP 连接 ,因此 不 能 对 UDP 应 用 进行 保护 。 如 果 要 兼 
顾 UDP 协议 层 之 上 的 安全 保护 ,可 以 采用 IP 层 的 安全 解决 方案 。 

3) SSL 协议 不 能 对 抗 通信 流量 分 析 

由 于 SSL 只 对 应 用 数据 进行 保护 ,数据 包 的 IP 头 和 TCP 头 仍 然 暴 露 在 外 ,通过 检查 
没有 加 密 的 IP 源 和 目的 地 址 以 及 TCP 端口 号 或 者 检查 通信 数据 量 , 一 个 通信 分 析 者 依然 
可 以 揭示 哪 一 方 在 使 用 什么 服务 ,有 时 甚至 能 推导 出 商业 或 私人 关系 。 然 而 用 户 一 般 都 对 
这 个 攻击 不 太 在 意 ,所 以 SSL 的 研究 者 们 并 不 打算 去 处 理 此 问题 。 

4) 针对 基于 公 钥 加 密 标准 (PKCS) 协 议 的 自 适应 选择 密 文 攻击 

由 于 SSL 服务 器 用 一 个 比特 标识 回答 每 条 消息 是 不 是 根据 PKCS#1 正确 地 加 密 和 编 
码 ,攻击 者 可 以 发 送 任意 数量 的 随机 消息 给 SSL 服务 器 ,再 达到 选择 密 文 攻击 的 目的 。 最 
广泛 采用 的 应 对 措施 就 是 进行 所 有 三 项 检查 而 不 发 送 警示 ,不 正确 时 直接 丢弃 。 

5) 进程 中 的 主 密 钥 泄 露 

除非 SSL 的 工程 实现 大 部 分 驻 留 在 硬件 中 ,否则 主 密 钥 将 会 存留 在 主机 的 主 存 储 器 
中 ,这 就 意味 着 任何 可 以 读 取 SSL 进程 存储 空间 的 攻击 者 都 能 读 取 主 密 钥 ,这 个 问题 要 依 
靠 用 户 管理 策略 解决 。 

6) 磁盘 上 的 临时 文件 可 能 遭受 攻击 

对 于 使 用 虚拟 内 存 的 操作 系统 ,不 可 避免 地 有 些 敏感 数据 甚至 主 密 钥 都 交换 到 磁盘 上 ， 
可 采取 内 存 加 锁 和 及 时 删除 磁盘 临时 文件 等 措施 来 降低 风险 。 





2. 不 规范 应 用 引起 的 问题 


对 SSL 的 应 用 必须 结合 网 络 的 实际 情况 ,并 制定 相应 的 管理 机 制 。 对 SSL 不 规范 的 应 
用 可 能 会 引起 下 列 问题 。 

1) 对 证 书 的 攻击 和 窃取 

公共 CA 机 构 并 不 总 是 可 靠 的 ,系统 管理 员 经 常 犯 的 错误 是 过 于 信任 这 样 的 公共 CA 
机 构 。 因 为 对 于 用 户 的 证 书 ,公共 CA 机 构 可 能 不 像 对 网 站 数字 证 书 那 样 重视 和 关心 其 准 
确 性 。 由 于 微软 公司 的 IIS 服务 器 提供 了 “客户 端 证 书 映射 "功能 ,用 于 将 客户 端 提交 证 书 
中 的 名 字 映 射 到 NT 系统 的 用 户 账号 ,在 这 种 情况 下 黑客 就 有 可 能 获得 该 主机 的 系统 管理 
员 权 限 。 如 果 黑 客 不 能 利用 上 面 的 非法 的 证 书 突破 服务 器 ,他 们 还 可 以 尝试 暴力 攻击 。 虽 
然 暴力 攻击 证 书 比 暴力 攻击 密码 更 为 困难 ,但 仍然 是 一 种 攻击 方法 。 要 暴力 攻击 客户 端 认 
证 ,黑客 编辑 一 个 可 能 的 用 户 名 字 列表 ,然后 为 每 一 个 名 字 向 CA 机 构 申 请 证 书 。 每 一 个 证 
书 都 用 于 尝试 获取 访问 权限 。 用 户 名 的 选择 越 好 ,其 中 一 个 证 书 被 认可 的 可 能 性 就 越 高 。 
暴力 攻击 证 书 的 方便 之 处 在 于 它 仅 需要 猜测 一 个 有 效 的 用 户 名 ,而 不 是 猜测 用 户 名 和 密码 ; 
除 此 之 外 ,黑客 还 可 能 窃取 有 效 的 证 书 及 相应 的 私 钥 。 最 简单 的 方法 是 利用 特洛伊 木马 ,这 
种 攻击 几乎 可 使 客户 端 证 书 形同虚设 。 对 付 这 种 攻击 的 唯一 有 效 方法 或 许 是 将 证 书 保存 到 
智能 卡 或 令 牌 之 类 的 设备 中 。 
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2) 中 间 人 攻击 

SSL 可 以 允许 多 种 密 钥 交换 算法 ,有 些 算法 ,如 DH, 没有 证 书 的 概念 ,这 样 便 无 法 验证 
对 方 的 公 钥 和 身份 的 真实 性 ,攻击 者 可 以 轻易 地 冒充 ,用 自己 的 密 钥 与 双方 通信 ,从 而 窃听 
到 别人 谈话 的 内 容 。 为 了 防止 中 间 人 攻击 ,应 该 采用 有 证 书 的 密 钥 交换 算法 。 

即使 采用 了 有 证 书 的 密 钥 交 换算 法 ,攻击 者 还 可 以 从 与 服务 器 握手 过 程 中 获得 一 些 内 
容 , 用 于 伪造 一 个 与 服务 器 非常 相似 的 证 书 ,这 样 , 当 攻 击 者 以 中 间 人 的 形式 与 用 户 进行 连 
接 时 ,虽然 客户 程序 能 够 识别 并 提出 警告 ,但 仍然 有 相当 多 的 用 户 被 迷惑 而 遭 到 攻击 。 只 要 
用 户 有 一 定 的 警惕 性 ,是 可 以 避免 这 种 攻击 的 。 

3) 安全 盲点 

系统 管理 员 不 能 使 用 现 有 的 安全 漏洞 扫描 或 用 网 络 入 侵 检测 系统 审查 或 监控 网 络 上 的 
SSL 交易 。 网 络 人 侵 检测 系统 是 通过 监测 网 络 传输 寻找 未 授权 的 活动 ,任何 符合 已 知 的 攻 
击 模式 或 未 经 授权 的 网 络 活动 都 被 标记 起 来 以 供 审计 ,其 前 提 是 IDS 必须 能 监视 所 有 的 网 
络 流量 信息 ,但 是 SSL 的 加 密 技 术 却 使 得 通过 网 络 传输 的 信息 无 法 让 IDS 辨认 。 这 样 , 既 
没有 网 络 监测 系统 又 没有 安全 审查 ,使 得 最 重要 的 服务 器 反而 成 为 受到 最 少 防护 的 服务 器 。 
对 此 ,恶意 代码 检测 .增强 的 日 志 功 能 等 基于 主机 的 安全 策略 会 成 为 最 后 防线 。 

4) IE 浏览 器 的 SSL 身份 鉴别 缺陷 

通常 情况 下 ,用 户 在 鉴别 对 方 身份 时 根据 证 书 链 对 证 书 逐 级 验证 ,如 果 存 在 中 间 CA， 
还 应 检查 所 有 中 间 证 书 是 否 拥有 合法 的 CA 基本 限制 (basic constraints) ,这 种 情况 下 攻击 
者 不 可 能 进行 中 间 人 攻击 ,但 实际 上 IE 5.0、5.5、6.0 浏览 器 对 是 否 拥有 合法 的 CA 基本 限 
制 并 不 做 验证 ,所 以 攻击 者 只 要 有 任何 域 的 合法 的 CA 签发 证 书 , 就 能 生成 其 他 任何 域 的 合 
法 CA 签发 证 书 , 从 而 导致 中 间 人 攻击 。 对 此 可 以 给 IE 打 补丁 ,也 可 以 使 用 Netscape 4.x 
或 Mozilla 浏览 器 ,对 于 一 些 非常 敏感 的 应 用 ,建议 在 进行 SSL 连接 时 手工 检查 证 书 链 , 如 
果 发 现 有 中 间 证 书 ,可 以 认为 正在 遭受 中 间 人 攻击 ,立即 采取 相应 保护 措施 。 

另外 ,由 于 美国 密码 出 口 的 限制 ,IE、Netscape 等 浏览 器 所 支持 的 加 密 强 度 很 弱 。 如 果 
只 采用 浏览 器 自 带 的 加 密 功 能 的 话 , 理 论 上 存在 被 破解 的 可 能 。 所 以 ,关键 的 系统 、 核 心 的 
技术 应 该 拥有 自主 的 知识 产权 。 

总 的 来 说 ,SSL 不 失 为 一 套 全 面 完 善 的 安全 策略 中 有 效 的 组 成 元 素 。 然 而 ,与 网 络 安 
全 的 其 他 工具 软件 一 样 , 仅 使 用 单一 的 防护 软件 都 是 远 远 不 够 的 。 对 SSL 的 过 高 评价 有 可 
能 带 来 高 的 安全 风险 , 它 仅仅 是 网 络 安全 工具 的 一 种 ,必须 和 其 他 网 络 安全 工具 紧密 结合 ， 
方 能 构造 出 全 面 、 完 善 . 安 全 可 靠 的 网 络 。 





124 安全 电子 交易 协议 


安全 电子 交易 (secure electronic transaction ,SET) 协 议 是 由 VISA 和 Master Card 两 
大 信用 卡 公司 联合 推出 的 规范 。SET 主要 是 为 了 解决 用 户 、 商 家 和 银行 之 间 通 过 信用 卡 支 
付 的 交易 而 设计 的 ,以 保证 支付 命令 的 机 密 、 支 付 过 程 的 完整 .商户 及 持 卡 人 的 合法 身份 ,以 
及 可 操作 性 。SET 中 的 核心 技术 主要 有 公 钥 加 密 、 数 字 签 名 、 数 字 信封 ,数字 证 书 等 。SET 
协议 比 SSL 协议 复杂 ,因为 前 者 不 仅 加 密 两 个 端点 间 的 单个 会 话 , 还 加 密 和 认定 三 方 间 的 
多 个 信息 。SET 是 应 用 层 的 安全 协议 。 
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1241 SET 协议 概述 


在 开放 的 互联 网 上 处 理 电子 商务 ,如何 保证 买卖 双方 传输 数据 的 安全 成 为 电子 商务 能 
和 否 普及 的 最 重要 的 问题 。 为 了 克服 SSL 安全 协议 的 缺点 ,Visa 和 Master Card 联合 开发 了 
SET 电子 商务 交易 安全 协议 。 这 是 一 个 为 了 在 互联 网 上 进行 在 线 交易 而 设立 的 开放 的 以 
电子 货币 为 基础 的 电子 支付 系统 规范 。SET 在 保留 对 客户 信用 卡 认证 的 前 提 下 ,又 增加 了 
对 商家 身份 的 认证 ,这 对 于 需要 支付 货币 的 交易 来 讲 是 至 关 重 要 的 。 

安全 电子 交易 协议 是 基于 互联 网 的 卡 基 支付 和 授权 业务 信息 传输 的 安全 标准 ,采取 
RSA 公开 密 钥 体系 对 通信 双方 进行 认证 ,利用 DES、RC4 或 任何 标准 对 称 加 密 方法 进行 信 
息 的 加 密 传输 ,并 用 Hash 算法 鉴别 消息 真 伪 或 有 无 自 改 。 在 SET 体系 中 有 一 个 关键 的 认 
证 机 构 ,认证 机 构 根 据 X. 509 标准 发 布 和 管理 证 书 。 


1. SET 提供 的 服务 


SET 本 身 并 不 是 一 个 付费 的 系统 。 相 反 地 , 它 是 一 套 安全 协议 和 格式 ,让 使 用 者 能 够 
在 现 有 的 用 卡 付费 机 制 中 ,以 安全 方式 在 公开 的 环境 中 做 交易 。SET 提供 了 以 下 的 服务 。 

(1) 给 所 有 参与 交易 的 每 一 方 提供 一 个 安全 的 通信 管道 。 

(2) 使 用 X. 509 v3 数字 证 书 来 提供 可 信赖 的 服务 。 

(3) 确保 交易 的 隐秘 性 。 唯 有 必要 的 时 候 , 才 会 在 必要 的 场所 提供 给 交易 双方 所 需 的 信息 。 

SET 是 一 种 复杂 的 机 制 ,由 1997 年 5 月 发 行 的 三 本 书 来 定义 。 

(1) Bookl: 商业 的 说 明 , 共 80 页 。 

(2) Book2: 程序 设计 者 手册 , 共 629 页 。 

(3) Book3: 正规 化 协议 定义 , 共 262 页 。 


2. SET 的 安全 功能 


SET 交易 分 为 三 个 阶段 : 第 一 阶段 为 购买 请 求 阶段 , 持 卡 人 与 商家 确定 所 用 支付 方式 
的 细节 ; 第 二 阶段 是 支付 的 认定 阶段 ,商家 与 银行 核实 , 随 着 交易 的 进行 ,他 们 将 得 到 支付 ; 
第 三 阶段 为 收 款 阶段 ,商家 向 银行 出 示 所 有 交易 的 细节 ,然后 银行 以 适当 方式 转移 货款 。 

在 整个 交易 过 程 中 , 持 卡 人 只 和 第 一 阶段 有 关 , 银 行 与 第 二 、 第 三 阶段 有 关 , 商 家 与 三 个 阶段 
都 要 发 生 联系 。 每 个 阶段 都 要 使 用 不 同 的 加 密 方法 对 数据 加 密 , 并 进行 数字 签名 。 使 用 SET 
协议 ,在 一 次 交易 中 ,要 完成 多 次 加 密 与 解密 操作 , 故 要 求 商 家 的 服务 器 要 有 很 高 的 处 理 能 力 。 

1) 安全 功能 

SET 协议 保证 了 电子 交易 的 机 密 性 ,数据 完整 性 、 身 份 的 合法 性 和 不 可 否认 性 。 

(1) 机 密 性 。SET 协议 采用 公 钥 密码 算法 来 保证 传输 信息 的 机 密 性 ,以 避免 Internet 
上 任何 有 关 或 无 关 的 帘 探 。 公 和 钥 算 法 允许 任何 人 使 用 接收 方 的 公 钥 把 加 密 信息 发 送 给 指定 
的 接收 者 ,接收 者 收 到 密 文 后 ,使 用 密 钥 对 这 个 信息 解密 ,因此 只 有 指定 的 接收 者 才能 解读 
这 个 信息 ,从 而 保证 信息 的 机 密 性 。SET 协议 也 可 以 通过 双重 签名 的 方法 ,将 信用 卡 信息 
直接 从 持 卡 人 通过 商家 发 送 到 商家 的 开户 行 ,不 容许 商家 访问 客户 的 账号 信息 ,这 样 客户 在 
消费 时 可 以 确信 其 信用 卡号 没有 在 传输 过 程 中 被 宇 探 ,而 接受 SET 交易 的 商家 因为 没有 访 
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问 信 用 卡 信息 , 故 免 去 了 在 其 数据 库 中 保存 信用 卡号 的 责任 。 

(2) 数据 完整 性 。 通 过 SET 协议 发 送 的 信息 经 过 加 密 后 ,将 为 其 产生 一 个 唯一 的 报 文 
消息 摘要 值 (message digest) ,一 旦 有 人 企图 算 改 报 文中 包含 的 数据 ,接收 方 重新 计算 出 的 
摘要 值 就 会 改变 ,从 而 被 检测 到 ,这 就 保证 了 信息 的 完整 性 。 

(3) 身份 认证 。SET 协议 可 使 用 数字 证 书 来 确认 交易 涉及 的 各 方 ( 包 括 商 家 、 持 卡 人 、 
收音 银行 和 支付 网 关 ) 的 身份 ,为 在 线 交易 提供 一 个 完整 的 可 信赖 环境 。 

(4) 不 可 否认 性 。SET 交易 中 的 数字 证 书 的 发 布 过 程 包含 了 商家 和 持 卡 人 在 交易 中 的 
信息 。 因 此 ,如 果 持 卡 人 用 SET 发 出 一 个 商品 的 订单 ,在 收 到 货物 后 他 不 能 否认 发 出 过 这 
个 订单 。 同 样 ,商家 也 不 能 否认 收 到 过 这 个 订单 。 

2) 功能 特色 

综观 SET 的 上 述 功能 ,可 以 看 出 其 融合 了 以 下 的 特色 。 

(1) 信息 可 靠 度 : 持 卡 人 账户 及 付费 信息 ,在 网 络 上 传输 的 过 程 中 ,要 保持 其 安全 。 
SET 有 一 个 重要 的 特征 , 即 SET 可 以 预防 特约 商店 偷偷 记录 持 卡 人 的 信用 卡 卡号 ; 信用 卡 
卡号 只 有 发 卡 银行 才能 提供 。 而 传统 的 DES 加 密 法 就 可 以 用 来 提供 信用 卡 卡号 的 保密 性 。 

(2) 数据 的 完整 性 : 在 特约 商店 与 持 卡 人 之 间 传 送 的 支付 命令 包括 认购 信息 ,个 人 数 
据 , 以 及 支付 指令 。SET 保证 这 些 信 息 在 传输 的 过 程 中 不 会 遭 到 更 改 。 运 用 SHA-1 Hash 
值 的 RSA 数字 签名 可 以 提供 信息 的 完整 性 。 

(3) 持 卡 人 账户 的 认证 : SET 让 特约 商店 可 以 辨别 持 卡 人 是 否 为 一 个 正确 信用 卡 账户 
的 合法 使 用 者 。SET 运用 X. 509 v3 数字 证 书 及 RSA 签名 达到 这 个 目的 。 

(4) 特约 商店 的 认证 : SET 可 以 让 持 卡 人 核对 是 否 特约 商店 与 金融 机 构 有 合作 关系 以 
接受 付 账 。SET 使 用 X. 509 v3 数字 证 书 与 RSA 签名 ,以 提供 这 样 的 认证 服务 。 


1242 SET 交易 的 参与 者 
一 般 来 说 ,在 SET 规范 的 交易 模式 中 ,所 参与 的 个 体 包 括 持 卡 人 、 特 约 商店 发卡 行 \ 收 


单行 ,支付 网 关 、 认 证 中 心 等 ,通过 这 些 成 员 和 相关 软件 , 即 可 在 Internet 上 构造 符合 SET 
标准 的 安全 支付 系统 。 图 12-14 所 示 为 一 个 安全 电子 支付 系统 的 组 成 。 
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图 12-14 安全 电子 支付 系统 
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1. 持 卡 人 (cardholder) 


在 电子 化 环境 中 ,消费 者 通过 因特网 与 特约 商店 之 间 互 动 。 持 卡 人 是 拥有 发 卡 行 授权 
许可 的 信用 卡 ( 如 MasterCard、Visa) 持 有 人 。 持 卡 人 要 参加 SET 交易 ,必须 要 有 一 台 能 够 
上 网 的 计算 机 ,还 必须 到 发 卡 行 去 申请 一 套 SET 交易 的 持 卡 人 软件 ,一 般 称 之 为 电子 钱包 
(Electronic Wallet)。 同 时 , 持 卡 人 必须 先 向 认证 中 心 注册 登记 ,并 取得 数字 证 书 , 然 后 才能 
使 用 基于 SET 协议 的 支付 手段 购物 。 在 持 卡 人 和 商家 的 会 话 中 ,SET 可 以 保证 持 卡 人 的 
个 人 账号 不 被 泄露 。 


2. 特约 商店 (merchant) 





特约 商店 (简称 商家 ) 可 能 是 某 一 个 人 ,或 是 某 一 个 组 织 , 通 过 网 上 商店 或 是 电子 邮件 的 
方式 ,销售 货物 或 者 是 提供 服务 给 持 卡 人 ,是 SET 交易 的 另 一 方 。 商 家 的 网 上 商店 必须 集 
成 SET 交易 的 商家 软件 , 持 卡 人 在 网 上 购物 时 ,由 网 上 商店 提供 服务 ,购物 结束 进行 支付 
时 ,由 SET 交易 商家 软件 进行 支付 结算 。 与 持 卡 人 一 样 商家 也 必须 先 到 银行 进行 申请 ,但 
不 是 到 发 卡 银行 ,而 是 和 接受 网 上 支付 业务 的 信用 卡 收 单 银行 建立 关系 ,在 该 银行 设立 账 
户 , 才 可 以 接受 信用 卡 。 在 开始 交易 前 ,还 必须 到 认证 中 心 申请 数字 证 书 。 


3. 发 卡 银行 (issuer) 


发 卡 银行 是 一 个 金融 机 构 ,是 发 行 信用 卡 的 银行 ,服务 的 主要 对 象 是 持 卡 人 。 其 主要 职 
能 是 向 持 卡 人 发 行 各 种 银行 卡 ,并 通过 提供 各 类 相关 的 银行 卡 服务 收取 一 定 费 用 。 通 过 发 
行 银行 卡 ,发 卡 机 构 获 得 持 卡 人 支付 的 信用 卡 年 费 、 透 支 利 息 、 持 卡 人 享受 各 种 服务 支付 的 
手续 费 、 商 户 回 佣 分 成 等 。 


4. 收 单 银行 (acquirer) 


收 单 银行 是 一 个 金融 机 构 ,会 建立 一 个 特约 商店 的 账户 ,对 信用 卡 做 认证 处 理 与 账 款 的 
处 理 。 特 约 商店 通常 会 接受 几 个 不 同 发 卡 公司 ,但 不 会 同时 和 多 个 不 同 的 银行 卡 协会 或 多 
个 个 体 发 卡 银行 合作 。 收 单 银行 会 协助 特约 商店 做 认证 ,核对 信用 卡 账 户 是 否 有 效 ,以 及 消 
费 金额 是 否 超出 信用 额度 。 收 单 银行 也 提供 电子 转账 的 服务 , 它 会 将 消费 者 支付 转 到 特约 
商店 的 账户 去 。 接 着 ,发 卡 银行 会 经 过 某 种 付费 网 络 ,对 收 单 银行 补偿 其 协助 电子 资金 转换 
所 需 的 费用 。 收 单 银行 的 利益 主要 来 源 于 商户 回 佣 .商户 支付 的 其 他 服务 费 ( 如 POS 终端 
租用 费 .月 费 等 ) 及 商户 存款 增加 。 大 多 数 发 卡 银行 都 兼 营 收 单 业务 ,也 有 一 些 非 银行 专业 
服务 机 构 经 营 收 单 业务 。 


5. 支付 网 关 (payment gateway) 


支付 网 关 是 连接 银行 专用 网 络 与 Internet 的 一 组 服务 器 ,其 主要 作用 是 完成 两 者 之 间 
的 通信 ,协议 转换 和 进行 数据 加 、 解 密 , 以 保护 银行 内 部 网 络 的 安全 。 支 付 网 关 的 功能 主要 
有 将 Internet 传 来 的 数据 包 解 密 , 并 按照 银行 系统 内 部 的 通信 协议 将 数据 重新 打包 ; 接收 
银行 系统 内 部 反馈 的 响应 消息 ,将 数据 转换 为 Internet 传送 的 数据 格式 ,并 对 其 进行 加 密 。 

支付 网 关 由 收 单 银行 或 特定 的 第 三 者 操作 ,处 理 特约 商店 支付 交易 的 信息 。 支 付 网 关 
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介 于 SET 和 现 有 的 信用 卡 支付 网 络 之 间 ,负责 认证 和 支付 功能 。 特 约 商 店 与 支付 网 关 在 网 
络 上 交换 SET 信息 ,而 支付 网 关 则 通过 直接 连接 或 者 是 网 络 联 机 ,与 收 单 银 行 的 金融 处 理 
系统 相连 接 。 


6. 认证 中 心 (CA) 


认证 中 心 是 电子 商务 体系 中 的 核心 环节 ,是 电子 交易 中 信赖 的 基础 。 它 通过 自身 的 注 
册 审 核 体系 ,检查 核实 进行 证 书 申请 的 用 户 身 份 和 各 项 相关 信息 ,使 网 上 交易 的 用 户 属性 客 
观 真实 性 与 证 书 的 真实 性 一 致 。 认 证 中 心 作 为 权威 的 ` 可 信赖 的 公正 的 第 三 方 机 构 ,专门 
负责 发 放 并 管理 所 有 参与 网 上 交易 的 实体 所 需 的 数字 证 书 。 认 证 中 心 用 X. 509 v3 公开 密 
钥 , 对 持 卡 人 、 特 约 商 店 、 支 付 网 关 做 认证 。 因 为 CA 的 架构 提供 认证 的 功能 ,所 以 SET 才 
有 办 法 通过 CA 来 达到 安全 交易 的 目的 。 

CA 虽然 不 直接 参与 SET 交易 ,但 在 SET 交易 中 起 着 非常 重要 的 作用 。 为 了 保证 
SET 交易 的 安全 ,SET 协议 规定 参加 交易 的 各 方 都 必须 持 有 证 书 , 在 交易 过 程 中 ,每 次 交换 
信息 都 必须 向 对 方 出 示 自 己 的 证 书 , 同 时 要 验证 对 方 的 证 书 。CA 的 工作 就 是 交易 各 方 证 
书 的 发 放 ,更 新 废除 ,建立 证 书 黑 名 单 等 各 种 证 书 管理 。 参 与 交易 的 各 方 在 交易 前 必须 到 
CA 申请 证 书 ,在 证 书 到 期 时 ,必须 进行 证 书 的 更 新 。 

下 面 简单 介绍 一 下 , 当 进 行 一 个 交易 时 ,需要 哪些 事件 来 完成 安全 性 的 电子 交易 。 

(1) 消费 者 开 立 账户 。 首 先 消费 者 要 在 有 支持 电子 支付 及 SET 的 银行 建立 信用 卡 账 
户 , 如 MasterCard 或 Visa。 

(2) 消费 者 收 到 证 书 。 在 适当 的 身份 确认 过 程 之 后 ,消费 者 会 收 到 由 银行 签署 的 
X. 509 v3 数字 证 书 。 这 个 证 书 用 来 核对 消费 者 的 RSA 公 钥 及 其 有 效 期 限 。 同 时 ,也 建立 
了 消费 者 的 密 钥 组 与 信用 卡 之 间 的 关系 ,并 由 银行 保证 这 个 关系 。 

(3) 特约 商店 证 书 。 接 受 某 家 公司 的 信用 卡 的 特约 商店 必须 拥有 两 个 证 书 , 分 别 包含 
一 把 公 钥 。 一 个 用 来 签署 信息 ,一 个 是 用 在 密 钥 交换 。 特 约 商店 也 要 保留 一 份 支付 网 关 的 
公 钥 证 书 。 

(4) 消费 者 订购 。 这 个 动作 可 能 会 涉及 消费 者 第 一 次 浏览 特约 商店 的 网 站 ,并 且 选 择 
商品 ,决定 价格 。 然 后 消费 者 会 将 这 次 和 欲 购买 商品 的 订购 单 发 送 给 特约 商店 ,接着 特约 商店 
会 传 回 商品 列表 、 价 格 .总 价 和 一 个 订单 编号 。 

(5) 特约 商店 核对 。 除 了 订购 单 ,特约 商店 会 发 送 它们 的 证 书 副本 ,消费 者 可 以 核对 所 
消费 的 商店 是 否 为 合法 有 效 的 。 

(6) 发 送 订 单 及 支付 。 消 费 者 将 其 订单 、 支 付 命令 与 其 证 书 传送 给 特约 商店 。 这 份 订 
单 对 所 支付 的 款项 进行 核对 。 支 付 中 会 包含 了 信用 卡 的 细节 。 因 此 支付 的 信息 要 经 过 加 
密 , 才 不 会 被 特约 商店 获取 其 中 的 重要 信息 。 而 消费 者 的 证 书 可 以 让 特约 商店 核对 消费 者 
身份 。 

(7) 特约 商店 请 求 支付 认证 。 特 约 商店 在 这 个 时 候 会 向 支付 网 关 传 送 支付 命令 ,并 且 
请 求 核 对 消费 者 的 信用 卡 是 否 能 支付 这 笔 款项 。 

(8) 特约 商店 核准 订单 。 特 约 商 店 将 核准 的 订单 信息 传送 给 消费 者 。 

(9) 特约 商店 提供 其 货物 或 服务 。 将 消费 者 订购 的 商品 装运 ,或 提供 给 消费 者 其 他 
服务 。 
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(10) 特约 商店 请 求 支付 。 商 店 将 请 求 支付 的 消息 送 到 支付 网 关 , 支 付 网 关 会 处 理 支 付 
工作 。 


1243 双重 签名 


双重 签名 是 SET 推出 的 数字 签名 的 新 应 用 。 
双重 签名 的 目的 在 连接 两 个 不 同 接 收 者 消息 。 在 这 里 ,消费 者 想 要 发 送 订 单 信息 
(order information, OD 到 特约 商店 , 且 发 送 支 付 命令 (payment instruction, PI) 给 银行 。 特 
约 商店 并 不 需要 知道 消费 者 的 信用 卡 卡号 ,银行 不 需要 知道 消费 者 订单 的 详细 信息 。 消 费 
者 需要 将 这 两 个 消息 分 隔 开 , 而 受到 额外 的 隐私 保护 。 然 而 ,在 必要 的 时 候 这 两 个 消息 必须 
要 连接 在 一 起 , 才 可 以 解决 可 能 的 争议 ` 质 疑 。 这 样 消费 者 可 以 证 明 这 个 支付 行为 是 根据 他 
的 订单 来 执行 的 ,而 不 是 其 他 的 货品 或 服务 。 
为 了 理解 这 个 连接 的 需要 性 , 先 假设 消费 者 发 送 两 个 消息 给 特约 商店 : 签名 过 的 OI 及 
PI, 而 特约 商店 将 PI 的 部 分 传递 给 银行 。 如 果 这 个 特约 商店 能 获得 这 个 消费 者 的 其 他 OI， 
那么 特约 商店 就 可 以 声称 后 来 的 这 个 OI 是 和 PI 一 起 来 的 ,而 不 是 原来 的 那个 OI。 因 此 如 
果 将 两 个 消息 连接 起 来 ,就 可 以 避免 这 种 情况 发 生 。 
消费 者 用 SHA-1 算法 ,取得 PI 的 Hash 值 和 0O1 的 Hash 值 。 接 着 将 这 两 个 Hash 值 
连接 在 一 起 ,并 用 消费 者 的 私 钥 来 加 密 , 就 产生 了 双重 签名 。 这 个 过 程 可 以 用 下 面 的 式 子 
DS=Er, [HCH(PD | H(OD)]J 
其 中 ,Ex 是 表示 消费 者 的 私 钥 。 现 在 假设 特约 商店 拥有 这 个 双重 签名 (DS) .OIL 和 PI 的 消 
息 摘 要 (PIMD)。 并 且 特 约 商 店 也 从 消费 者 的 证 书 中 得 到 消费 者 的 公 钥 。 
接着 ,特约 商店 就 能 计算 出 两 个 数 ,如 下 面 所 述 : 
H(PIMD | H(OD) 
Drku [DS] 
其 中 ,Dru 为 消费 者 的 公 钥 。 如 果 这 两 个 数 计算 出 的 结果 相同 , 则 特约 商店 就 可 核准 这 个 签 
名 。 相 同 地 ,如 果 银 行 拥有 DS、PI 和 OI 的 消息 摘要 (COIMD) ,以 及 消费 者 的 公 钥 , 则 银行 可 
计算 如 下 
HCH(PD || OIMD) 
Dru LDS] 
如 果 两 个 数 计算 出 来 都 一 样 ,银行 就 核准 这 个 签名 。 总 结 如 下 。 
(1) 特约 商店 接收 到 OI, 可 以 验证 签名 确认 OI 正确 性 。 
(2) 银行 接收 到 PI, 也 可 验证 此 签名 确认 PI 的 正确 性 。 
(3) 消费 者 则 将 OI 及 PI 连接 完成 ,并 且 可 以 证 明 这 个 连接 的 正确 性 。 
例如 , 王 先生 要 买 李 小 姐 的 一 处 房产 ,他 发 给 李 小 姐 一 个 购买 报价 单 及 对 他 对 银行 的 授 
权 书 的 消息 ,要 求 银行 如 果 李 小 姐 同意 按 此 价格 出 卖 , 则 将 钱 划 到 李 小 姐 的 账 上 。 但 是 王 先 
生 不 想 让 银行 看 到 报价 ,也 不 想 让 李 小 姐 看 到 他 的 银行 账号 信息 。 此 外 ,报价 和 支付 是 相连 
的 、 不 可 分 割 的 , 仅 当 李 小 姐 同意 他 的 报价 , 钱 才 会 转移 。 要 达到 这 个 要 求 , 采 用 双重 签名 即 
可 实现 。 首 先生 成 两 条 消息 的 摘要 ,将 两 个 摘要 连接 起 来 ,生成 一 个 新 的 摘要 ( 称 为 双重 签 
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名 ) ,然后 用 签发 者 的 私有 密 钥 加 密 ,为 了 让 接收 者 验证 双重 签名 ,还 必须 将 另外 一 条 消息 的 
摘要 一 块 传 过 去 。 这 样 ,任何 一 个 消息 的 接收 者 都 可 以 通过 以 下 方法 验证 消息 的 真实 性 : 
生成 消息 摘要 ,将 它 和 另外 一 个 消息 摘要 连接 起 来 ,生成 新 的 摘要 ,如 果 它 与 解密 后 的 双重 
签名 相等 ,就 可 以 确定 消息 是 真实 的 。 因 此 ,如 果 李 小 姐 同意 , 它 发 一 个 消息 给 银行 表示 她 
同意 ,另外 包括 报价 单 的 消息 摘要 ,银行 能 验证 王 先生 授权 的 真实 性 ,用 王 先生 的 授权 书生 
成 的 摘要 和 李 小 姐 消息 中 的 报价 单 的 摘要 验证 双重 签名 。 银 行 根据 双重 签名 可 以 判定 报价 
单 的 真实 性 ,但 却 看 不 到 报价 单 的 内 容 。 
图 12-15 所 示 为 使 用 双重 签名 实现 这 一 需求 的 过 程 。 












































PIMD 
Pl 上 -一 | 克 EC 
Cy | Dual 
POMD signature 
D 一 二 -22 下- 区 到 
OIMD 
Ol 广 -一 呈 | 
PI: 支付 命令 PIMD: PI 消息 摘要 
OI: 订单 信息 OIMD: OI 消息 摘要 
HH: 哈 希 函数 (SHA-1) 。 POMD: 支付 /订单 消息 摘要 
|: 连接 E: 加 密 函 数 (RSA) 





Kre: 用 户 私 钥 
图 12-15 双重 签名 的 生成 过 程 


1244 SET 的 交易 流程 


电子 购物 的 工作 流程 与 现实 购物 的 流程 很 相似 ,这 使 得 电子 商务 与 传统 商务 可 以 很 好 
地 融合 ,用 户 使 用 起 来 也 没有 什么 障碍 。 从 顾客 通过 浏览 器 进入 在 线 商 店 开 始 , 一 直到 账户 
上 的 金额 被 划 走 ,所 有 这 些 都 是 通过 Internet 完成 的 。 

通常 ,一 个 SET 交易 过 程 会 涉及 以 下 事件 或 状态 。 

(1) 持 卡 人 注册 (cardholder registration) : 持 卡 人 必须 在 发 送 SET 信息 给 特约 商店 之 
前 向 CA 注册 。 

(2) 特约 商店 注册 (merchant registration) : 特约 商店 必须 在 它们 和 消费 者 与 支付 网 关 
交换 SET 信息 之 前 ,向 CA 申请 注册 。 

(3) 购买 请 求 (purchase request) : 从 消费 者 送出 给 特约 商店 的 消息 ,包含 给 特约 商店 
的 OI 与 给 银行 的 Pl。 

(4) 支付 授权 (payment authorization) : 在 特约 商店 与 支付 网 关 之 间 的 交换 ,可 以 对 特 
定 账 户 信用 卡 持 卡 人 的 采购 做 授权 。 

(5) 支付 请 款 (payment capture) : 让 特约 商店 可 以 从 支付 网 关 请 求 支付 项 。 

(6) 证 书 询问 与 状态 (certificate inquiry and status) : 如 果 CA 无 法 快速 完成 一 个 证 书 请 求 
的 处 理 , 它 会 发 送 一 个 消息 给 持 卡 人 或 特约 商店 ,表明 要 请 求 者 稍 后 再 做 确认 。 持 卡 人 或 特约 
商店 会 发 送 证 书 询问 的 消息 ,确定 证 书 请 求 的 状态 ,如 果 请 求 得 到 批准 就 会 接收 到 证 书 了 。 

(7) 采购 询问 (purchase inquiry) : 采购 响应 消息 收 到 后 , 持 卡 人 可 以 询问 订单 处 理 状态 。 
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(8) 请 款 撤销 (capture reversal) : 特约 商店 可 以 更 正在 取得 请 求 消息 中 的 错误 ,如 销售 
员 输 入 错误 的 交易 数量 。 

前 面 已 经 提 到 ,SET 交易 分 为 三 个 阶段 , 即 购买 请 求 阶段 、 支 付 授权 阶段 和 取得 支付 阶 
段 , 下 面 对 这 三 个 阶段 做 详细 介绍 。 


1. 第 一 阶段 : 购买 请 求 


在 购买 请 求 之 前 , 持 卡 人 已 经 完成 浏览 选 定 商品 以 及 订购 的 工作 。 这 些 工 作 都 还 没有 
使 用 到 SET 协议 。 

购买 请 求 过程 由 4 个 消息 构成 : 初始 请 求 、 初 始 回应 .购买 请 求购 买 回应 。 

为 了 传送 SET 消息 到 特约 商店 , 持 卡 人 必须 要 保留 一 份 特 约 商店 及 支付 网 关 的 证 书 副 
本 。 消 费 者 在 初始 请 求 的 消息 中 要 求 申请 证 书 , 然 后 这 个 消息 会 送 到 特约 商店 。 这 个 消息 
包括 消费 者 所 使 用 的 信用 卡 的 公司 ,也 包含 了 由 消费 者 指定 的 回应 这 组 请 求 的 一 个 ID。 

特约 商店 对 这 个 请 求 产 生 响 应 ,并 且 用 自己 的 私 钥 来 签名 。 这 个 响应 消息 包含 一 个 代 
表 这 次 购买 交易 代号 的 ID 特约 商店 的 签名 证 书 及 支付 网 关 证 书 。 持 卡 人 会 对 特约 商店 和 
支付 网 关 证 书 , 用 它们 各 自 的 CA 签名 来 做 核对 的 工作 ,然后 产生 OI 及 PI。 由 特约 商店 所 
指定 的 交易 ID 会 放 在 OI 及 PI 中 。 在 OI 里 并 不 会 包含 明确 的 订单 数据 ,比如 物品 的 编号 
或 规格 。 接 着 , 持 卡 人 产生 一 个 暂时 的 对 称 加 密 密 钥 K,;, 准 备 好 购买 请 求 (purchase 
request) 消息 ,如 图 12-16 所 示 。 
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Kw : 银行 的 公 钥 
图 12-16 持 卡 人 发 送 的 购买 请 求 


1) 购买 请 求 消息 

购买 请 求 消息 包含 了 以 下 信息 。 

(1) 采购 相关 的 信息 。 这 个 信息 会 由 特约 商店 转送 到 支付 网 关 。 由 以 下 成 分 组 成 。 
a 支付 命令 PI。 

@ 由 PI 与 OI 所 计算 出 并 且 经 过 消费 者 私 钥 签署 的 双重 签名 。 
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@ OI 消息 摘要 (OIMD)。 在 支付 网 关中 需要 OIMD 来 确认 双重 签名 ,如 同 前 面 介 绍 
的 。 所 有 的 东西 需要 经 过 K, 加 密 。 

@ 数字 信封 。 这 个 信封 是 由 支付 网 关 的 密 钥 K, 产生 的 。 之 所 以 被 称 为 数字 信封 ,是 
因为 只 有 能 够 打开 信封 的 人 ,才能 够 读 取 上 述 内 容 。K, 的 值 是 不 对 特约 商店 公开 的 ,因此 ， 
特约 商店 无 法 获得 任何 这 个 支付 相关 的 信息 。 

(2) 订单 相关 信息 。 特 约 商店 需要 这 项 信息 , 它 包括 : 

Q@ 订单 信息 OI。 

@ 由 PI 与 OI 计算 出 并 经 消费 者 的 私 钥 签 署 的 双重 签名 。 

@ PI 消息 摘要 (PIMD)。 

特约 商店 需要 PIMD 来 对 双重 签名 做 确认 。 请 注意 OI 是 以 没有 加 密 保护 的 明文 方式 
传送 出 去 的 。 

(3) 持 卡 人 证 书 。 这 部 分 包含 持 卡 人 公开 签名 密 钥 。 对 特约 商店 与 支付 网 关 来 说 , 它 
们 都 需要 这 个 证 书 。 

2) 特约 商店 工作 流程 

当 特 约 商 店 接 收 到 购买 请 求 消息 ,会 做 以 下 动作 ,如 图 12-17 所 示 。 

购买 请 求 
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图 12-17 商家 核对 消费 者 的 采购 请 求 


(1) 以 CA 签名 核对 持 卡 人 的 证 书 。 

(2) 利用 消费 者 公开 签名 密 钥 对 双重 签名 做 核对 。 这 样 可 以 确保 订单 在 传送 过 程 中 没 
有 被 算 改 ,并 且 可 以 确定 这 是 经 过 持 卡 人 的 私 钥 签 署 过 的 合法 订单 。 

(3) 对 订单 做 处 理 , 并 且 将 支付 信息 传送 给 支付 网 关 。 

购买 响应 消息 包含 了 一 个 响应 区 块 ,用 来 告知 收 到 订单 ,并 顺便 取得 相对 应 的 交易 代 
码 。 特 约 商店 以 它 的 私 钥 签署 这 个 区 块 。 然 后 此 区 块 及 签名 会 和 特约 商店 的 签名 证 书 一 起 
传送 到 消费 者 那里 。 

当 持 卡 人 软件 接收 到 购买 响应 消息 后 ,他 会 核对 特约 商店 的 证 书 , 然 后 再 核对 响应 区 块 
中 的 签名 。 最 后 ,显示 给 使 用 者 一 个 消息 或 更 新 数据 库 上 订单 的 数据 。 
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2. 第 二 阶段 : 支付 授权 


在 处 理 一 个 持 卡 人 订单 的 过 程 中 ,特约 商店 会 授权 支付 网 关 处 理 此 次 交易 。 这 样 的 支 
付 权 可 以 确保 进行 中 的 交易 是 经 由 发 行人 认可 过 的 。 并 且 , 这 个 授权 可 以 确保 特约 商店 一 
定 会 接收 到 支付 ,进而 特约 商店 才 愿 意 提 供 服务 或 商品 给 消费 者 。 

1) 支付 授权 

支付 授权 过 程 中 包含 了 授权 请 求 和 授权 回应 消息 。 

授权 请 求 消息 ,由 特约 商店 发 送 给 支付 网 关 , 包 含 了 下 列 信息 。 

(1) 采购 的 相关 消息 。 这 个 消息 是 从 消费 者 那里 得 来 的 ,组 成 的 成 分 如 下 : 

@O PI。 

@ 由 了 PI 与 OI 所 计算 出 ,并 且 经 由 消费 者 私 钥 签署 过 的 双重 签名 。 

@ OI 消息 摘要 。 

@ 数字 信封 。 

(2) 授权 的 相关 消息 。 这 个 消息 是 由 特约 商店 所 产生 的 ,包含 了 以 下 的 组 成 成 分 : 

@ 授权 区 块 ,包含 了 交易 ID, 由 特约 商店 私 钥 签署 ,并 经 特约 商店 所 产生 的 临时 对 称 
密 钥 加 密 。 

@ 数字 信封 。 

(3) 证 书 。 包 含 持 卡 人 的 签名 密 钥 证 书 ( 用 来 对 双重 签名 进行 核对 ) ,特约 商店 的 签名 
密 钥 证 书 (用 来 对 特约 商店 的 签名 进行 核对 ) ,以 及 特约 商店 的 密 钥 交换 证 书 ( 在 支付 网 关 响 
应 时 会 用 到 )。 

2) 支付 网 关 工 作 流程 

支付 网 关 则 需要 执行 以 下 工作 。 

(1) 核对 所 有 的 证 书 。 

(2) 将 授权 区 块 的 数字 信封 解密 ,得 到 对 称 密 钥 ,然后 就 可 以 对 授权 区 块 解密 了 。 

(3) 核对 授权 区 块 中 的 特约 商店 签名 。 

(4) 对 支付 区 块 的 数字 信封 解密 ,得 到 对 称 密 钥 后 ,可 以 再 将 支付 区 块 解密 。 

(5) 核对 支付 区 块 中 的 双重 签名 。 

(6) 核对 从 特约 商店 接收 到 的 交易 ID, 是 否 和 从 消费 者 接收 到 的 PI 内 交易 ID 吻合 。 

(7) 向 发 卡 银行 请 求 并 接受 授权 。 

3) 授权 响应 

得 到 发 卡 银行 的 授权 之 后 ,支付 网 关 会 传 回 一 个 授权 响应 Cauthorization response) 消 
息 给 特约 商店 。 其 中 包含 了 以 下 的 成 分 。 

(1) 授权 相关 的 信息 。 包 含 授权 区 块 ,用 网 关 的 私 钥 签 署 过 ,并 且 用 网 关 产 生 的 暂时 对 
称 钥 加 密 。 另 外 也 包含 了 一 个 数字 信封 ,内 涵 用 特约 商店 的 公 钥 加 密 过 的 暂时 密 钥 。 

(2) 记录 信封 的 信息 。 这 项 信息 会 在 后 面 用 来 完成 支付 的 任务 。 

(3) 证 书 。 支 付 网 关 的 签名 密 钥 证 书 。 

经 过 支付 网 关 认 可 后 ,特约 商店 便 可 以 提供 商品 或 服务 给 消费 者 。 


3. 第 三 阶段 : 取得 支付 
为 了 得 到 消费 者 的 付费 款项 ,特约 商店 必须 和 支付 网 关 进 行 支付 信息 的 交换 处 理 , 这 项 
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交易 过 程 中 包含 了 两 个 消息 ,分 别 是 记录 请 求 消息 与 记录 响应 消息 。 

在 记录 请 求 消 息 中 ,特约 商店 会 产生 一 个 记录 请 求 区 块 ,并 对 其 做 签名 并 且 加 密 。 这 个 
区 块 包含 了 支付 信息 与 交易 ID。 在 这 个 消息 中 ,也 包含 了 这 次 交易 先前 (在 授权 回应 时 ) 收 
到 的 加 密 过 的 记录 信封 ,还 有 特约 商店 的 签名 密 钥 及 证 书 。 

当 支 付 网 关 接收 到 记录 请 求 消息 时 ,会 解 译 并 且 核 对 记录 请 求 区 块 及 记录 信封 区 块 。 
然后 确认 记录 请 求 与 记录 信封 之 间 的 一 致 性 。 接 着 产生 一 个 请 求 消息 ,通过 支付 网 络 送 给 
发 卡 银行 。 这 个 消息 会 使 支付 的 资金 传送 到 特约 商店 的 账户 中 。 

支付 网 关 接着 会 以 记录 响应 消息 通知 特约 商店 已 进行 转账 动作 。 这 个 消息 包括 了 一 个 
经 过 支付 网 关 签 署 并 且 加 密 的 记录 响应 区 块 。 另 外 还 有 网 关 的 签名 密 钥 证 书 。 而 特约 商店 
软件 会 储存 这 个 记录 响应 ,用 来 保持 与 收 单 银行 所 收 到 的 支付 项 的 一 致 性 。 


1245 SET 协议 的 安全 性 分 析 


ISO/IEC 10181 系列 阐述 了 开放 式 信息 系统 的 安全 架构 标准 , 共 包 含 7 个 部 分 : 认证 、 
访问 控制 , 抗 否认 性 ,机密 性 、 完 整 性 ,安全 跟踪 与 告警 以 及 密 钥 管理 等 服务 ,其 中 访问 控制 
及 安全 跟踪 告警 两 部 分 涉及 企业 安全 政策 与 组 织 架 构 的 程度 较 深 ,SET 并 没有 针对 它们 给 
应 用 系统 开发 人 员 提 出 系统 的 指导 原则 ; 另外 ,关于 密 钥 管理 的 部 分 ,SET 协议 也 没有 说 明 
该 如 何 处 理 ,也 就 是 说 ,目前 SET 将 上 述 三 个 部 分 留 给 应 用 系统 开发 人 员 自 行 处 理 。 

电子 支付 系统 中 的 支付 信息 涉及 资金 转移 的 有 关 信 息 , 如 用 户 数 据 、 信 用 卡号 码 、 交 易 
内 容 等 个 人 信息 ,系统 必须 要 能 确保 隐私 数据 在 网 络 上 传输 的 安全 性 ,由 此 可 看 出 保护 隐私 
权 对 于 电子 支付 的 重要 性 。ISO/IEC 10181 系列 文件 中 有 关 隐 私 权 保护 的 规范 并 不 完整 ， 
ISO/IEC 10181 一 5 所 论述 的 机 密 性 保护 是 指 通信 的 机 密 性 。 个 人 隐私 权 的 保护 有 较 宽 广 
的 意义 ,应 该 被 列 和 人 安全 需求 的 考虑 。 


1. 认证 安全 





这 项 服务 主要 是 为 了 验证 交易 参与 者 确实 是 自己 所 声称 的 个 体 。SET 协议 使 用 数字 
签名 与 证 书 的 技术 达到 身份 识别 的 目的 ,进行 的 方式 为 发 送 方 (如 顾客 ) 使 用 自己 的 密 钥 将 
交易 信息 加 密 而 产生 数字 签名 ,然后 接收 方 (如 商店 ) 先 使 用 签证 中 心 的 公开 密 钥 来 检验 对 
方 证 书 的 真 伪 , 确 定 无 误 后 才 取 出 证 书 中 的 公开 密 钥 ,进行 签名 验证 ,如 此 可 达到 身份 认证 
的 功能 。 尤 其 ,采用 可 信赖 的 第 三 方 (认证 中 心 ) 负 责 公 钥 的 签发 工作 ,可 以 使 得 身份 认证 的 
工作 在 开放 的 网 络 环境 里 更 能 够 确保 安全 。 然 而 也 正 因为 如 此 ,SET 的 认证 工作 必须 依赖 
公 钥 的 运作 体系 (PKD ,使 得 系统 是 否 能 实际 运作 必须 根据 整体 大 环境 是 否 成 熟 而 定 , 例 如 
签证 体系 的 建立 等 ,这 将 导致 系统 建设 成 本 的 大 幅 提升 。 


2. 完整 性 安全 


为 了 确保 交易 数据 在 经 过 网 络 媒介 传输 后 没有 遭 到 修改 ,必须 检验 收 到 的 数据 是 不 是 
与 原 数据 相同 ,也 就 是 验证 数据 的 完整 性 : 另外 ,接收 方 也 必须 确定 发 送 方 能 够 对 文件 负 
责 , 即 签字 、 盖 章 的 概念 ,也 必须 避免 相同 的 数据 被 重复 使 用 。SET 协议 使 用 数字 签名 与 哈 
和 希 函 数 技术 达成 上 述 有 关 完 整 性 的 要 求 , 运 作 方 式 为 发 送 方 先 将 交易 信息 经 过 哈 希 函数 的 
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计算 产生 消息 摘要 后 ,使 用 发 送 方 的 私 钥 加 密 产 生 签 名 。 这 里 将 两 种 技术 结合 使 用 ,可 以 得 
到 较 简 易 的 算法 、 较 快 的 签名 速度 等 好 处 。SET 使 用 的 哈 希 函数 算法 是 SHA-1, 其 产生 的 
消息 摘要 长 度 为 160 位 ,只 要 更 改 消息 中 任 一 个 位 ,平均 来 说 ,将 导致 一 半 的 消息 摘要 位 改 
变 , 故 可 提升 了 签名 的 安全 性 。 另 外 ,每 位 SET 使 用 者 持 有 两 对 非 对 称 密 钥 ,分 别 用 于 密 钥 
交换 及 签名 上 ,这 增加 了 系统 破解 的 复杂 度 , 同 时 系统 安全 也 相对 提高 。 


3. 机 密 性 安全 


机 密 性 安全 指 防止 未 经 授权 的 信息 泄露 行为 。SET 协议 使 用 了 密码 学 技术 确保 交易 
信息 的 机 密 性 ,在 信息 交换 的 过 程 里 采用 了 对 称 性 与 非 对 称 性 的 密码 系统 。 

一 般 来 说 ,对 称 性 密码 系统 不 太 适用 于 一 群 素 不 相识 的 人 在 开放 的 网 络 里 交换 信息 , 因 
为 对 一 家 商店 来 说 它 必 须 分 别 指定 每 一 顾客 所 需 的 唯一 密 钥 ,并 且 经 过 安全 的 管道 传送 给 
顾客 ,这 种 做 法 在 开放 的 因特网 中 毫 无 效率 可 言 。 同 样 的 情况 ,如 果 使 用 非 对 称 性 密码 系 
统 , 则 同一 家 商店 仅 需 要 建立 一 对 公私 钥 并 且 公 布 公 钥 ,如 此 一 来 , 它 允 许 顾客 们 使 用 这 把 
公 钥 将 信息 安全 地 传送 给 商家 ,而 这 就 是 SET 在 进行 信息 交换 时 采用 公 钥 密码 技术 的 原 
因 ; 为 了 提供 更 高 的 安全 保护 ,也 就 是 防止 他 人 根据 算法 或 环境 等 相关 信息 重新 制造 加 密 
密 钥 , 所 以 使 用 了 “数字 信封 "的 加 密 方式 , 即 在 信息 交换 之 前 先 随机 产生 会 话 密 钥 ,用 对 称 
密 钥 将 信息 加 密 , 然 后 用 接收 者 的 公 钥 将 这 把 对 称 密 钥 加 密 得 到 数字 信封 ,最 后 才 将 加 密 后 
的 信息 及 数字 信封 传送 给 接收 者 。 

由 于 每 一 次 交易 双方 建立 新 的 连接 就 是 一 次 通信 期 间 的 开始 ,每 次 通信 期 间 都 会 产生 
新 的 通信 密 钥 , 也 就 是 说 每 个 通信 和 密 钥 的 有 效 期 为 通信 期 间 , 此 期 间 通常 都 不 长 ; 基于 这 些 
特性 ,相对 于 长 期 间 都 使 用 同一 把 密 钥 加 密 来 说 ,就 算 某 次 的 通信 密 钥 遭 到 破解 ,也 不 会 影 
响 到 其 他 交易 数据 的 安全 性 。 


4. 抗 否认 性 


一 般 来 说 ,人 们 对 于 日 常生 活 中 的 交易 持 较为 放心 及 信赖 的 态度 ,这 种 现象 出 自 于 消费 
者 眼见 为 实 的 心态 。 而 在 因特网 环境 的 商务 活动 中 ,参与 交易 者 并 不 是 直接 面对面 ,因此 可 
信赖 安全 环境 更 为 重要 。 抗 否认 性 提供 了 一 种 交易 承诺 的 保障 ,其 功能 是 在 交易 的 过 程 中 
保留 证 据 , 除 了 能 够 约束 交易 参与 者 正确 ,合法 的 行为 外 ,同时 也 解决 随后 可 能 发 生 的 争议 。 

SET 协议 可 以 利用 数字 签名 技术 产生 不 可 否认 的 证 据 , 其 中 双重 签名 也 隐 含 了 这 个 功 
能 。 基 于 银行 对 商店 不 信任 的 假设 ,银行 可 利用 商店 转交 持 卡 人 的 支付 信息 以 及 请 求 授 权 
信息 ,防止 商店 否认 与 使 用 者 的 交易 内 容 。SET 所 欠缺 的 是 没有 提 及 应 该 如 何 处 理 这 些 交 
易 记 录 ,即将 相关 的 记录 连接 成 为 完整 的 证 据 , 因 此 零散 的 记录 散 置 在 各 处 。 同 时 ,SET 也 
没有 明确 要 求 当事人 储存 这 些 记录 ,而 将 这 部 分 的 工作 交 给 各 个 系统 开发 者 自行 设计 。 纵 
使 个 别 的 交易 参与 者 将 这 些 记 录 储 存 起 来 ,也 缺少 了 适当 的 管理 方法 使 得 证 据 不 够 完整 ,将 
无 法 发 挥 应 有 的 效果 。 另 外 ,SET 安全 交易 说 明 书 在 业务 叙述 的 部 分 ,也 清楚 提 到 了 现 阶 
段 的 SET 协议 在 使 用 密码 技术 提供 的 服务 里 ,并 没有 者 括 交 易 的 抗 否 认 性 方面 的 服务 。 





5. 隐私 权 的 安全 保护 
由 于 电子 支付 系统 对 于 交易 个 体 间 信 任 关 系 假 设 的 差异 ,导致 交易 协议 采取 不 同 的 安 
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全 保障 方法 ,也 因此 产生 了 不 同 程度 的 隐私 保护 。SET 协议 为 了 提供 消费 者 隐私 权 的 保 
护 , 使 用 了 一 个 重要 的 创新 技术 , 即 双重 签名 , 它 根据 信息 分 离 的 方式 将 交易 信息 分 开 , 使 得 
商店 取得 订购 信息 而 银行 接收 支付 信息 ; 另外 为 了 避免 日 后 可 能 发 生 购 买 金额 与 商品 内 容 
的 争议 。 因 此 两 笔 信 息 间 必须 要 具有 连接 关系 ,这 种 情况 若 以 一 般 人 工 操作 的 处 理 方式 ,是 
在 两 份 文件 上 盖 上 同一 个 戳记 ,而 对 应 用 到 计算 机 作业 上 则 是 采用 双重 签名 完成 。 

从 协议 设计 的 角度 来 看 ,SET 协议 是 从 银行 的 角度 考虑 ,所 以 对 于 隐私 的 保护 是 建立 
在 信任 银行 的 假设 上 。 事 实 上 ,银行 可 能 汇集 持 卡 人 个 别 交易 的 支付 信息 ,如 果 缺 乏 适 当 的 
防范 措施 ,将 导致 持 卡 人 隐私 泄露 的 风险 。 总 的 来 说 ,SET 协议 在 个 别 交 易 层 次 提供 了 个 
人 密 钥 数据 的 保护 即 双 重 签名 ,但 是 并 没有 考虑 日 后 银行 进行 资料 汇集 的 处 理 可 能 侵犯 的 
个 人 隐私 问题 。 这 样 的 伤害 却 有 甚 于 单 笔 加 密 信息 可 能 泄露 的 危害 ,所 以 机 密 性 只 是 隐私 
权 的 一 部 分 ,两 者 并 不 能 完全 划 等 号 。 


第 13 章 安全 评价 标准 


随 着 信息 技术 的 发 展 ,信息 技术 的 安全 问题 变 得 越 来 越 严 重 。 面 对 一 个 信息 系统 (包括 
各 种 软 \ 硬 件 ,以 及 系统 集成 ) ,用 户 们 的 首要 担忧 就 是 ,这 个 系统 安全 吗 ? 所 以 ,计算 机 系统 
的 提供 者 需要 对 他 们 的 产品 的 安全 特性 进行 说 明 , 用 户 则 需要 验证 这 些 安全 特性 的 可 靠 性 。 

然而 ,普通 的 用 户 和 系统 购买 者 都 不 是 安全 专家 ,他 们 难以 对 产品 的 安全 性 进行 准确 和 
充分 的 验证 ,难以 判断 系统 提供 者 所 提供 的 安全 证 明 的 有 效 性 ,或 以 任何 方式 确定 这 些 系统 
确实 实现 了 应 该 实现 的 安全 策略 。 

因而 ,独立 的 第 三 方 计算 机 安全 评价 是 非常 必要 的 。 因 为 独立 的 计算 机 安全 专家 能 够 
对 系统 的 安全 需求 .设计 、 实 现 和 保证 证 据 等 进行 审查 。 对 于 非 安全 专家 的 用 户 来 说 ,独立 
安全 专家 的 评价 是 最 合适 的 。 国 际 上 有 多 种 为 计算 机 安全 系统 构筑 独立 审查 措施 的 安全 评 
价 体系 ,这 些 评价 标准 能 够 完善 而 准确 地 表达 信息 系统 的 安全 性 以 及 评价 信息 系统 安全 性 
的 方法 和 准则 ,是 信息 安全 技术 的 基础 ,其 内 容 和 发 展 深刻 地 反映 了 对 信息 安全 问题 的 认识 
程度 。 了 解 其 现状 和 发 展 对 信息 安全 技术 的 研究 十 分 重要 ,也 是 开发 和 评测 各 种 信息 安全 
技术 的 依据 。 
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在 计算 机 应 用 的 早期 ,由 于 计算 机 的 应 用 领域 越 来 越 广泛 ,尤其 大 型 机 被 应 用 到 政府 、 
军事 .金融 等 重要 部 门 ,计算 机 系统 的 可 靠 性 .安全 性 逐渐 得 到 了 人 们 的 重视 。 如 何 评价 计 
算 机 系统 的 安全 成 为 各 国政 府 和 计算 机 用 户 所 关心 的 问题 。1970 年 美国 国防 部 在 国家 安 
全 局 建立 了 计算 机 安全 评估 中 心 ,开始 了 计算 机 安全 评估 的 理论 与 技术 的 研究 ,研究 的 核心 
问题 是 计算 机 操作 系统 的 安全 问题 。1985 年 12 月 美国 国防 部 公布 了 评价 安全 计算 机 系统 
的 六 项 标准 。 这 套 标准 的 文献 名 称 即 为 (可 信 计 算 机 系统 评价 标准 》(Trusted Computer 
System Evaluation Criteria,TCSEC) ,又 称 为 橘 皮 书 。“ 可 信 ” 即 可 信赖 ,安全 可 靠 。 该 标准 
旨 在 提供 一 种 标准 ,使 用 户 可 以 对 其 计算 机 系统 内 敏感 信息 安全 操作 的 可 信 程度 做 出 评 
估 , 同 时 给 计算 机 行业 的 制造 商 提 供 一 种 可 循 的 指导 规则 ,使 其 产品 能 够 更 好 地 满足 敏感 应 
用 的 安全 需求 。 

TCSEC 最 初 只 是 军用 标准 ,后 来 延至 民用 领域 ,是 计算 机 系统 安全 评估 的 第 一 个 正式 
标准 ,具有 划时代 的 意义 。 
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1311 TCSEC 的 主要 概念 


在 TCSEC 中 定义 了 许多 基本 的 概念 。 这 些 概念 是 TCSEC 的 基础 ,并 被 沿用 到 其 他 安 
全 标准 的 制定 当中 。 


1. 考核 标准 


为 了 阐述 对 可 信 计 算 机 的 考核 标准 ,TCSEC 首先 提出 了 主体 与 客体 的 概念 。 

主体 (subject) , 即 计算 机 系统 的 主动 访问 者 ,如 用 户 ( 包 括 入 侵 者 )、 用 户 运 行 的 程序 
(包括 入 侵 者 的 恶意 程序 ) 、 用 户 的 复制 \ 删 除 .修改 等 操作 都 是 主体 。 被 访问 或 被 使 用 的 对 
象 称 为 客体 (object) 。 对 资源 的 访问 控制 抽象 为 主体 集合 对 客体 集合 的 监视 与 控制 。 在 主 
体 与 客体 的 概念 体系 下 ,TCSEC 提出 了 评价 安全 计算 机 系统 的 6 项 标准 。 

(1) 安全 策略 (security policy) 。 必 须 有 一 项 明确 的 由 计算 机 系统 实施 的 安全 策略 。 系 
统 中 必须 有 可 供 系 统 使 用 的 访问 规则 的 集合 ,以 便 决 定 是 否 人 允许 某 主体 对 特定 客体 的 访问 。 
这 些 访问 规则 包括 阻止 未 授权 用 户 对 敏感 信息 的 访问 。 支 持 自 主 访问 控制 ,保证 只 有 指定 
的 用 户 或 用 户 组 才能 获得 对 数据 的 访问 权 。 必 须根 据 安全 策略 ,在 可 信 计 算 机 系统 中 实现 
这 些 访问 规则 。 

(2) 标识 (identification) 。 必 须 能 够 对 系统 中 的 每 个 主体 进行 标识 ,使 它们 都 可 以 唯一 
地 和 可 靠 地 被 辨识 。 为 了 能 够 让 系统 检验 每 个 主体 的 访问 请 求 ,这 种 标识 是 必需 的 。 系 统 
必须 对 每 个 主体 识别 后 , 才 允 许 它 对 客体 进行 访问 。 在 系统 中 每 次 对 客体 的 访问 ,都 需要 识 
别 主 体 的 身份 .安全 级 别 和 对 应 的 有 权 访问 的 客体 ,对 主体 的 识别 与 授权 信息 必须 由 计算 机 
系统 秘密 进行 ,并 与 完成 某 些 安全 有 关 动 作 的 每 个 活动 元 素 结合 起 来 。 

(3) 标记 (marking)。 对 每 个 客体 都 要 做 一 个 敏感 性 标记 (sensitivity labels) ,用 于 规定 
该 客体 的 安全 等 级 ,并 且 保证 每 次 对 客体 访问 时 都 能 得 到 该 客体 的 标记 ,以 便 在 访问 之 前 可 
以 进行 核查 。 对 每 个 客体 进行 标记 也 是 为 了 支持 强制 访问 控制 的 安全 策略 。 客 体 的 标记 既 
要 包含 客体 的 敏感 级 别 , 也 包括 允许 哪些 主体 可 以 对 本 客体 进行 访问 的 方式 。 

(4) 可 记 账 性 (accountability) ,或 称 责任 。 系 统 必 须 能 够 记录 所 有 影响 系统 安全 的 各 
种 活动 。 这 些 活动 包括 有 新 用 户 登 录 到 系统 中 ,发 生 了 修改 主体 或 客体 的 安全 级 别 的 事件 ， 
发 生 了 拒绝 访问 的 事件 ,发 生 了 多 次 注册 失败 的 事件 。 对 与 系统 信息 安全 有 关 的 事件 应 该 
有 选择 地 记录 与 保存 , 即 审 计 , 以 便 对 影响 系统 安全 的 活动 进行 追踪 ,确定 责任 者 。 系 统 对 
审计 信息 必须 妥善 保护 ,防止 对 审计 信息 的 恶意 算 改 或 未 经 授权 的 毁坏 。 

(5) 保障 机 制 (assurance)。 为 了 实现 上 述 各 种 安全 能 力 与 机 制 ,在 系统 中 必须 提供 相 
应 的 硬件 与 软件 的 保障 机 制 与 设施 ,并 且 能 够 对 这 些 机 制 进行 有 效 的 评价 。 这 些 机 制 可 以 
嵌入 在 操作 系统 内 ,并 以 秘密 的 方式 执行 指定 的 任务 ,还 应 该 在 文档 中 写 明 ,这 些 机 制 是 否 
能 够 独立 考察 .评估 和 检验 其 结果 是 否 充分 。 

(6) 连续 性 保护 (continuous protection) 。 系 统 的 上 述 安全 机 制 必须 受到 连续 性 的 保 
护 ,防止 未 经 许可 的 中 途 修改 或 损坏 。 如 果实 现 了 上 述 策略 的 硬件 和 软件 本 身 是 客体 ,那么 
这 些 安全 机 制 的 可 靠 性 就 受到 威胁 ,进而 威胁 到 计算 机 系统 的 可 信 性 。 
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2. 主要 概念 


在 TCSEC 中 提出 了 以 下 主要 概念 ,以 描述 计算 机 系统 的 安全 问题 。 

(1) 安全 性 。 包 括 安全 策略 、 策 略 模型 ,安全 服务 和 安全 机 制 等 内 容 ,其 中 安全 策略 是 
为 了 实现 软件 系统 的 安全 而 制定 的 有 关 管 理 \ 保 护 和 发 布 敏感 信息 的 规定 与 实施 细则 ; 策 
略 模型 时 指 实施 安全 策略 的 模型 ; 安全 服务 指 根据 安全 策略 和 安全 模型 提供 的 安全 方面 的 
服务 ; 安全 机 制 是 实现 安全 服务 的 方法 。 

(2) 可 信 计 算 基 (trusted computing base,TCB)。TCB 是 软件 ,硬件 与 固件 的 有 机 集 
合 ,根据 访问 控制 策略 处 理 主体 集合 对 客体 集合 的 访问 ,TCB 中 包含 了 所 有 与 系统 安全 有 
关 的 功能 。 

(3) 自主 访问 控制 (discretionary access control, DAC)。DAC 指 资源 的 所 有 者 ( 即 主 
体 ) 可 以 自主 地 确定 别人 对 其 资源 的 访问 权 。 具 有 某 类 权限 的 主体 能 够 将 其 对 某 资源 (客体 ) 
的 访问 权 直 接 或 间接 地 按照 需要 动态 地 转让 给 其 他 主体 或 回收 转让 给 其 他 主体 的 访问 权限 。 

(4) 强制 访问 控制 (mandatory access control,MAC)。MAC 是 比 自主 访问 更 为 严格 的 
一 种 访问 控制 方式 。 在 这 种 访问 方式 中 ,客体 的 访问 权限 不 能 由 客体 的 拥有 者 自己 确定 ,而 
是 由 系统 管理 者 强制 规定 的 。 系 统管 理 者 为 主体 与 客体 规定 安全 属性 (安全 级 别 、 权 限 等 )， 
系统 安全 机 制 严格 按照 主体 与 客体 的 安全 属性 控制 主体 对 客体 的 访问 ,对 于 系统 管理 员 确 
定 的 安全 属性 ,任何 主体 都 不 能 修改 与 转让 。 

(5) 隐蔽 信道 。 它 指 一 个 进程 利用 违反 系统 安全 的 方式 传输 信息 。 有 两 类 隐蔽 信道 : 
存储 信道 与 时 钟 信道 。 存 储 信道 是 一 个 进程 通过 存储 介质 向 另 一 个 进程 直接 或 间接 传递 信 
息 的 信道 ; 时 钟 信道 指 一 个 进程 通过 执行 与 系统 时 钟 有 关 的 操作 把 不 能 泄露 的 信息 传递 给 
另 一 个 进程 的 通信 信道 。 例 如 ,一 个 文件 的 读 写 属性 位 可 以 成 为 隐蔽 存储 信道 ,而 按 某 种 频 
率 创 建 于 删除 一 个 文件 可 以 形成 一 个 时 钟 隐 蔽 信道 。 

此 外 ,还 有 认证 加密、 授权 与 保护 等 概念 。 


3. 系统 模型 


评估 准则 中 采用 的 可 信 计 算 机 系统 的 安全 模型 采用 了 访问 监控 器 的 概念 。 访 问 监控 器 
映射 计算 机 系统 的 可 信 计 算 基 TCB, 即 安全 核 , 它 的 作用 是 负责 实施 系统 的 安全 策略 ,在 主 
体 和 客体 之 间 对 所 有 的 访问 操作 实施 监控 ,访问 监 
控 器 的 作用 如 图 13-1 所 示 。 

图 13-1 中 的 主体 表示 系统 中 访问 操作 的 发 起 
者 ,可 以 是 用 户 , 或 者 代表 用 户 意图 的 进程 等 ; 客体 
是 访问 操作 的 对 象 ,包括 文件 .目录 、 内 存 区 、 进 程 
等 ; 监视 器 数据 基 主 要 存放 用 户 权 限 和 对 客体 的 访 









监控 器 数据 基 ; 
(用 户 权限 表 、 
访问 控制 表 ) 

















问 关系 等 信息 ; 访问 监控 器 是 实现 系统 安全 策略 的 而 一 人 从 
机 制 , 是 系统 的 可 信 计 算 基 。 访 问 监控 器 对 于 主体 | 

提出 的 每 一 次 访问 请 求 ,根据 访问 监控 数据 基 中 定 市 计 信 息 

义 的 访问 关系 与 访问 权 决 定 是 否 同意 这 次 访问 的 2 


执行 ,并 进行 相应 的 审计 记录 。 图 13-1 基于 访问 监控 器 的 系统 安全 模型 
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1312 计算 机 系统 的 安全 等 级 


TCSEC 将 可 信 计 算 机 系统 的 评价 规则 划分 为 4 类 , 即 安全 策略 、 可 记 账 性 、 安 全 保证 措 
施 和 文档 。 

安全 策略 包括 自主 存 取 控制 .客体 重用 标记、 标记 完整 性 ,标记 信息 的 扩散 、 主 体 敏感 
度 标记 设备 标记 等 规则 、 强 制 存 取 控制 等 规则 ; 可 记 账 性 包括 标识 与 认证 ,可 信和 路 径 、 审 计 
等 规则 ; 安全 保障 措施 包括 系统 体系 结构 .系统 完整 性 、 隐 项 信道 分 析 、 可 信 设 施 管理 .可 信 
恢复 .生命 周期 保证 .安全 测试 .设计 规范 和 验证 ,配置 管理 .可 信和 分 配 等 规则 ; 文档 包括 安 
全 特性 用 户 指南 、 可 信 设 施 手册 ,测试 文档 ,设计 文档 等 规则 。 

根据 计算 机 系统 对 上 述 各 项 指标 的 支持 情况 及 安全 性 相近 的 特点 ,TCSEC 将 系统 划分 
为 4 类 (division)7 个 等 级 ,依次 是 D; C(C1.,C2); B(B1,B2,B3); A(A1), 按 系统 可 靠 或 可 
信 程度 逐 渐 增 高 ,如 表 13-1 所 示 。 


表 13-1 TCSEC 安全 级 别 划 分 





安全 级 别 定 类 
Al 验证 设计 (verified design) 
B3 安全 域 (security domains) 
B2 结构 化 保护 (structural protection) 
Bl 标记 安全 保护 (labeled security protection) 
CS 受 控 的 存 取 保护 (controlled access protection) 
cl 自主 安全 保护 (discretionary security protection) 
D 最 小 保护 (minimal protection) 


在 TCSEC 中 建立 的 安全 级 别 之 间 具有 一 种 偏 序 向 下 兼容 的 关系 , 即 较 高 安全 性 级 别 
提供 的 安全 保护 要 包含 较 低 级 别 的 所 有 保护 要 求 , 同 时 提供 更 多 或 更 完善 的 保护 能 力 。 


1. D 安全 级 


D 级 是 最 低级 别 。 保 留 D 级 的 目的 是 为 了 将 一 切 不 符合 更 高 标准 的 系统 ,统统 归于 D 
级 ,如 DOS 就 是 操作 系统 中 安全 标准 为 DD 的 典型 例子 。 它 具有 操作 系统 的 基本 功能 ,如 文 
件 系 统 、 进 程 调度 等 ,但 在 安全 性 方面 几乎 没有 什么 专门 的 机 制 保障 。 


2. C1 安全 级 


C1 级 系统 只 提供 了 非常 初级 的 自主 安全 保护 ,能 够 实现 对 用 户 和 数据 的 分 离 , 进 行 自 
主 访问 控制 (DAC) ,保护 或 限制 用 户 权限 的 传播 。 现 有 的 商业 系统 往往 稍 做 改进 即 可 满足 
要 求 。 

C1 级 系统 称 为 自主 安全 保护 系统 。 此 类 系统 是 针对 多 个 协作 用 户 在 同一 敏感 级 别 上 
处 理 数据 的 工作 环境 。 其 主要 的 特点 是 把 用 户 与 数据 隔离 ,提供 自主 访问 控制 功能 ,使 用 户 
可 以 对 自己 的 资源 自主 地 确定 何 时 使 用 或 不 使 用 控制 ,以 及 允许 哪些 主体 或 组 进行 访问 。 
通过 用 户 拥有 者 的 自主 定义 和 控制 ,可 以 防止 自己 的 数据 被 别 的 用 户 有 意 或 无 意 地 复 改 、. 干 
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涉 或 破坏 。 该 安全 级 要 求 在 进行 任何 活动 之 前 ,通过 TCB 去 确认 用 户 身份 (如 密码 ) ,并 保 
护 确 认 数据 ,以 免 未 经 授权 对 确认 数据 的 访问 和 修改 。 这 类 系统 在 硬件 上 必须 提供 某 种 程 
度 的 保护 机 制 ,使 之 不 易 受 到 损害 ; 用 户 必 须 在 系统 注册 建立 账户 并 利用 通行 证 让 系统 能 
够 识别 它们 。C1 级 要 求 较 严 格 的 测试 ,以 检测 该 类 系统 是 否 实现 了 设计 文档 上 说 明 的 安全 
要 求 。 另 外 还 要 进行 攻击 性 测试 ,以 保证 不 存在 明显 的 漏洞 让 非法 用 户 攻破 而 绕 过 系统 的 
安全 机 制 进入 系统 。 另 外 ,C1l 级 系统 要 求 完善 的 文档 资料 。 


3. C2 安全 级 


C2 安全 级 称 为 可 控 安 全 保护 级 ,是 安全 产品 的 最 低档 次 ,提供 受 控 的 存 取保 护 , 即 将 
C1 级 的 DAC 进一步 细 化 ,保护 粒度 要 达到 单个 用 户 和 单个 客体 一 级 ,以 个 人 身份 注册 负 
责 , 并 实施 审计 和 资源 隔离 。 它 通过 注册 过 程 .与 安全 相关 事件 的 审计 和 资源 隔离 ,使 得 用 
户 的 操作 具有 可 追踪 性 。C2 级 增加 了 审计 功能 ,审计 粒度 必须 能 够 跟踪 每 个 主体 对 每 个 客 
体 的 每 一 次 访问 ,审计 功能 是 C2 较 Cl 新 增加 的 安全 要 求 。 在 安全 策略 方面 ,除了 具备 C1 
级 所 有 功能 外 ,还 提供 授权 服务 、 对 访问 权利 扩散 的 控制 。C2 级 还 提供 客体 再 用 功能 , 即 要 
求 在 一 个 过 程 运行 结束 后 ,要 消除 该 过 程 残留 在 内 存 、 外 存 和 寄存 器 中 的 信息 ,在 另 一 个 用 
户 过 程 运行 之 前 必须 清除 或 覆盖 这 些 客体 的 残留 信息 。C2 系统 的 TCB 必须 保存 在 特定 区 
域 中 ,以 防止 外 部 人 员 的 算 改 。 

很 多 商业 产品 已 得 到 该 级 别 的 认证 。 达 到 C2 级 的 产品 在 其 名 称 中 往往 不 突出 “安全 ” 
这 一 特色 ,如 操作 系统 中 Microsoft 的 Windows NT 3. 5 ,数字 设备 公司 的 Open VMS VAX 
6.0 和 6.1。 数 据 库 产品 有 Oracle 公司 的 Oracle 7,Sybase 公司 的 SQL Server 11.0.6 等 。 


4. B1 安全 级 


B 类 安全 包含 三 个 级 别 : Bl1 级 、B2 级 、B3 级 ,它们 都 采用 强制 保护 控制 机 制 。Bl 级 又 
称 为 带 标记 的 访问 控制 保护 级 ,其 在 C2 级 的 基础 上 增加 了 或 加 强 了 标记 、 强 制 访问 控制 、 
审计 、 可 记 账 性 和 保障 等 功能 。 

在 Bl 级 中 标记 起 着 重要 的 作用 ,是 强制 访问 控制 实施 的 依据 。 每 个 主体 和 存储 客体 
有 关 的 标记 都 要 由 TCB 维护 。B1 级 对 标记 的 内 容 与 适用 有 以 下 要 求 。 

(1) 主体 与 客体 的 敏感 标记 的 完整 性 : 当 TCB 输出 敏感 标记 时 ,应 准确 对 应 内 部 标记 ， 
并 输出 相应 的 关联 信息 。 

(2) 标记 信息 的 输出 人 工 制定 每 个 I/O 信道 与 1/O 设备 是 单 (安全 ) 级 的 还 是 多 ( 安 
全 ) 级 的 ,TCB 应 能 知道 这 种 指定 ,并 能 对 这 种 指定 活动 进行 审计 。 

(3) 多 级 设备 输出 : 当 TCB 把 一 个 客体 输出 到 多 级 1/O 设备 时 ,敏感 标记 也 应 同时 输 
出 ,并 与 输出 信息 一 起 留存 在 同一 物理 介质 上 。 当 TCB 使 用 多 级 1/O 信道 通信 时 ,协议 应 
能 支持 多 敏感 标记 信息 的 传输 。 

(4) 单 级 设备 的 输出 : 虽然 不 要 求 对 单 级 I/O 设备 和 单 级 信道 所 处 理 的 信息 保留 敏感 
标志 ,但 要 求 TCB 提供 一 种 安全 机 制 ,允许 用 户 利 用 单 级 设备 与 单 级 1/O 信道 安全 地 传输 
单 级 信息 。 

(5) 敏感 标记 的 输出 : 系统 管理 员 应 该 能 够 指定 与 输出 敏感 标记 相关 联 的 可 打印 标记 
名 ,这 些 敏 感 标 记 可 以 是 秘密 、 机 密 和 绝密 的 。TCB 应 能 标识 这 些 敏感 标记 输出 的 开始 与 
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结束 。 
Bl 级 能 够 较 好 地 满足 大 型 企业 或 一 般 政 府 部 门 对 数据 的 安全 需求 ,这 一 级 别 的 产品 才 
被 认为 是 真正 意义 上 的 安全 产品 。 满 足 此 级 别 的 产品 前 一 般 多 冠 以 “安全 ”或 “可 信和 的 ” 字 
样 ,作为 区 别 于 普通 产品 的 安全 产品 出 售 。 例 如 ,操作 系统 方面 ,典型 的 有 数字 设备 公司 的 
SEVMS VAX Version 6. 0, 惠 普 公 司 的 HP-UX BLS release 9. 0. 9 十。 数据 库 方面 则 有 
Oracle 公司 的 Trusted Oracle 7, Sybase 公司 的 Secure SQL Server version 11. 0. 6， 
Informix 公司 的 Incorporated INFORMIX-OnLine / Secure 5.0 等。 


5. B2 安全 级 


B2 安全 级 称 为 结构 化 保护 级 。 该 级 系统 的 设计 中 把 系统 内 部 结构 化 地 划分 成 明确 而 
大 体 上 独立 的 模块 ,并 采用 最 小 特权 原则 进行 管理 。B2 级 不 仅 要 求 对 所 有 对 象 加 标记 ,而 
且 要 求 给 设备 (磁盘 或 终端 ) 分 配 一 个 或 多 个 安全 级 别 ( 实 现 设备 标记 )。 必 须 对 所 有 的 主体 
与 客体 (包括 设备 ) 实 施 强制 性 访问 控制 保护 ,必须 要 有 专职 人 员 负 责 实 施 访问 控制 策略 ,其 
他 用 户 无 权 管理 。 通 过 建立 形式 化 的 安全 策略 模型 并 对 系统 内 的 所 有 主体 和 客体 实施 自主 
访问 控制 和 强制 访问 控制 。 

B2 级 较 Bl 级 有 一 项 更 强 的 设计 要 求 ,B2 级 系统 的 设计 与 实现 必须 经 得 起 更 彻底 的 测 
试 和 审查 ,必须 给 出 可 验证 的 顶级 设计 (top-level design) ,并 且 通 过 测试 确保 该 系统 实现 了 
这 一 设计 。 还 需要 对 隐蔽 信道 进行 分 析 , 确 保 系统 不 存在 各 种 安全 漏洞 。 实 现 中 必须 为 安 
全 系统 自身 的 执行 维护 一 个 保护 域 ,必须 确保 该 域 的 安全 性 不 受 外 界 的 破坏 ,进而 保护 整个 
系统 的 目标 代码 和 数据 的 完整 性 不 受 外 界 破坏 。 

目前 ,经 过 认证 的 B2 级 以 上 的 安全 系统 非常 稀少 。 例 如 ,符合 B2 标准 的 操作 系统 只 
有 Trusted Information Systems 公司 的 Trusted XENIX 一 种 产品 ,符合 B2 标准 的 网 络 产 
品 只 有 Cryptek Secure Communications 公司 的 LLC VSLAN 一 种 产品 ,而 数据 库 方面 则 没 
有 符合 B2 标准 的 产品 。 


6. B3 安全 级 


B3 安全 级 又 称 为 安全 域 保 护 级 。 该 级 的 TCB 必须 满足 访问 监控 器 的 要 求 ,审计 跟踪 
能 力 更 强 , 并 提供 系统 恢复 过 程 。B3 安全 级 要 求 系统 有 主体 /客体 的 区 域 ,有 能 力 实现 对 每 
个 目标 的 访问 控制 ,使 每 次 访问 都 受到 检查 。 用 户 程序 或 操作 被 限定 在 某 个 安全 域内 ,安全 
域 间 的 访问 受到 严格 控制 。 这 类 系统 通常 采用 硬件 设施 来 加 强 安全 域 的 安全 ,例如 内 存 管 
理 硬 件 用 于 保护 安全 域 免 受 无 权 主体 的 访问 或 防止 其 他 域 的 主体 的 修改 。 该 级 别 要 求 用 户 
的 终端 必须 通过 可 信和 的 信道 连接 在 系统 上 。 

为 了 能 够 确实 进行 广泛 而 可 信 的 测试 ,B3 级 系统 的 安全 功能 应 该 是 短小 精 悍 的 。 为 了 
便于 理解 与 实现 ,系统 的 高 级 设计 (high level design) 必须 是 简明 而 完善 的 ,必须 组 合 使 用 
有 效 的 分 层 、 抽 象 和 信息 隐蔽 等 原则 。 所 实现 的 安全 功能 必须 是 高 度 防 突破 的 ,系统 的 审计 
功能 能 够 区 分 出 何 时 能 避免 一 种 破坏 安全 的 活动 。 为 了 使 系统 具备 恢复 能 力 ,B3 级 系统 增 
加 了 一 个 安全 策略 。 

(1) 安全 策略 : 采用 访问 控制 列表 进行 控制 ,允许 用 户 指 定 和 控制 对 客体 的 共享 ,也 可 
以 指定 命名 用 户 对 客体 的 访问 方式 。 
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(2) 可 记 账 性 : 系统 能 够 监视 安全 审计 事件 的 发 生 与 积累 , 当 超出 某 个 安全 净值 时 ,能 
够 立刻 报警 ,通知 安全 管理 人 员 进行 处 理 。 

(3) 保障 措施 : 只 能 完成 与 安全 有 关 的 管理 功能 ,对 其 他 完成 非 安 全 功能 的 操作 要 严 
格 限制 。 当 系统 出 现 故障 与 灾难 性 事件 后 ,要 提供 一 种 过 程 与 机 制 ,保证 在 不 损坏 保护 的 条 
件 下 ,使 系统 得 到 恢复 。 


7. A1 安全 级 


Al 安全 级 又 称 为 可 验证 设计 保护 级 , 即 提供 B3 级 保护 的 同时 给 出 系统 的 形式 化 设 
计 说 明和 验证 以 确信 各 安全 保护 真正 实现 。Al 级 与 B3 级 相似 ,对 系统 的 结构 和 策略 不 
做 特别 要 求 。Al 系统 的 显著 特征 是 ,系统 的 设计 者 必须 按照 一 个 正式 的 设计 规范 来 分 
析 系 统 。 对 系统 分 析 后 ,设计 者 必须 运用 核对 技术 来 确保 系统 符合 设计 规范 。Al 系统 
必须 满足 下 列 要 求 : 系统 管理 员 必须 从 开发 者 那里 接收 到 一 个 安全 策略 的 正式 模型 ; 所 
有 的 安装 操作 都 必须 由 系统 管理 员 进 行 ; 系统 管理 员 进行 的 每 一 步 安 装 操作 都 必须 有 正 
式 文档 。 

Al 安全 级 的 设计 要 求 非常 严格 ,达到 这 种 要 求 的 系统 很 少 。 目 前 已 获得 承认 的 此 类 
系统 有 Honeywell 公司 的 SCOMP 系统 。Al 安全 级 标准 是 安全 信息 系统 的 最 高 安全 级 
别 ,一 般 信 息 系统 很 难 达 到 这 样 的 安全 能 力 。 


132 通用 评估 准则 


CCCCommon Criteria for Information Technology Security Evaluation) 标 准 是 国际 标 
准 化 组 织 ISO/IEC JTC1 发 布 的 一 个 标准 ,其 标准 编号 为 ISO/IEC 15408, 是 信息 技术 安全 
性 通用 评估 准则 ,用 来 评估 信息 系统 或 信息 产品 的 安全 性 。 

国际 标准 化 组 织 ISO 从 1990 年 开始 发 起 开发 信息 技术 安全 评价 通用 准则 。1993 年 6 
月 ,CTCPEC、FC、TCSEC 和 ITSEC 等 发 起 组 织 开 始 联合 起 来 ,将 各 自 独 立 的 准则 组 合成 
一 个 单一 的 ,能 广泛 应 用 的 IT 安全 准则 。 

发 起 组 织 包括 六 国 七 方 : 加 拿 大 法国、 德国 .荷兰 .英国 ,美国 NIST 及 美国 NSA ,各 方 
代表 建立 的 CC 编辑 委员 会 来 开发 CC。1996 年 1 月 完成 CC 1.0 版 ; 1997 年 10 月 完成 
CC 2.0 测试 版 ;1998 年 5 月 发 布 CC 2.0 版 ; 1999 年 12 月 ISO 采纳 CC ,并 作为 国际 标准 
ISO/IEC 15408 正式 发 布 。 目 前 ,已 有 20 多 个 国家 已 经 或 打算 加 入 CC 互 认 协 议 。 我 国 与 
之 相对 应 的 标准 为 (信息 系统 安全 性 评估 准则 和 测试 规范 》。 


1321 0C 的 主要 用 户 


CC 的 主要 用 户 包括 消费 者 、 开 发 者 和 评估 者 。 
1. 消费 者 


当 消 费 者 选择 IT 安全 要 求 表达 他 们 的 组 织 需求 时 ,CC 起 到 重要 的 技术 支持 作用 。 当 
作为 信息 技术 安全 性 需求 的 基础 和 制作 依据 时 ,CC 能 确保 评估 满足 消费 者 的 需求 。 
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消费 者 可 以 用 评估 结果 来 决定 一 个 已 评估 的 产品 和 系统 是 否 满足 他 们 的 安全 需求 。 这 
些 需求 就 是 风险 分 析 和 政策 导向 的 结果 。 消 费 者 也 可 以 用 评估 结果 来 比较 不 同 的 产品 和 
系统 。 

CC 为 消费 者 提供 了 一 个 独立 于 实现 的 框架 ,命名 为 “保护 轮廓 ”(protection profile,PP)， 
用 户 在 保护 轮廓 里 表明 他 们 对 评估 对 象 中 IT 安全 措施 的 特殊 需求 。 


2. 开发 者 


CC 为 开发 者 在 准备 和 参与 评估 产品 或 系统 以 及 确定 每 种 产品 和 系统 要 满足 安全 需求 
方面 提供 支持 。 只 要 有 一 个 互相 认可 的 评价 方法 和 双方 对 评价 结果 的 认可 协议 ,CC 还 可 
以 在 准备 和 参与 对 开发 者 的 评估 对 象 (target of evaluation ,TOE) 评 价 方面 支持 除 TOE 开 
发 者 之 外 的 其 他 人 。 

CC 还 可 以 通过 评价 特殊 的 安全 功能 和 保证 证 明 TOE 确实 实现 了 特定 的 安全 需求 。 
每 一 个 TOE 的 需求 都 包含 在 一 个 名 为 “安全 目标 ”(security target, ST) 的 概念 中 ,广泛 的 
消费 者 基础 需求 由 一 个 或 多 个 PP 提供 。 

CC 描述 一 个 包括 在 TOE 内 的 安全 功能 。 可 以 用 CC 来 决定 有 必要 支持 TOE 评估 证 
据 的 可 靠 性 和 作用 , 它 也 定义 证 据 的 内 容 和 表现 形式 。 


3. 评估 者 


当 要 做 出 TOE 及 其 安全 需求 一 致 性 判断 时 ,CC 为 评估 者 提供 了 评估 准则 。CC 描述 
了 评估 者 执行 的 系列 通用 功能 和 完成 这 些 功能 所 需 的 安全 功能 。 


1322 OC 的 组 成 


CC 分 为 三 个 部 分 ,其 中 第 一 部 分 “简介 和 一 般 模型 ”, 正 文 介绍 了 CC 中 的 有 关 术 语 、 基 
本 概念 和 一 般 模 型 以 及 与 评估 有 关 的 一 些 框架 ,附录 部 分 主要 介绍 保护 轮廓 和 安全 目标 的 
基本 内 容 。 

第 二 部 分 “安全 功能 要 求 ”, 按 “类 - 族 -组 件 ” 的 方式 提出 安全 功能 要 求 , 提 供 了 表示 评估 
对 象 TOE 安全 功能 要 求 的 标准 方法 。 除 正文 以 外 ,每 一 个 类 还 有 对 应 的 提示 性 附录 做 进 
一 步 的 解释 。 

第 三 部 分 “安全 保证 要 求 ”, 定 义 了 评估 保证 级 别 ,建立 了 一 系列 安全 保证 组 建 作为 表示 
TOE 保证 要 求 的 标准 方法 。 第 三 部 分 列 出 了 一 系列 保证 组 件 、 族 和 类 ,还 定义 了 PP 和 ST 
的 评估 准则 ,并 提出 了 评估 保证 级 别 。 

CC 的 三 个 部 分 相互 依存 , 缺 一 不 可 。 其 中 第 一 部 分 是 介绍 CC 的 基本 概念 和 基本 原 
理 , 第 二 部 分 提出 了 技术 要 求 ,第 三 部 分 提出 了 非 技术 要 求 和 对 开发 过 程 `. 工 程 过 程 的 要 求 。 
这 三 部 分 的 有 机 结合 具体 体现 在 PP 和 ST 中 ,PP 和 ST 的 概念 和 原理 有 第 一 部 分 介绍 ,PP 
和 ST 中 的 安全 功能 要 求 和 安全 保证 要 求 在 第 二 、 第 三 部 分 选取 ,这 些 安全 要 求 的 完备 性 和 
一 致 性 ,由 第 二 、 第 三 两 个 部 分 保证 ,如 图 13-2 所 示 。 
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保护 轮廓 PP 
包括 一 个 CC 评估 保证 级 的 
一 组 可 复 用 且 完 备 的 
安全 要 求 


功能 (CC PART2) 














功能 包 
一 组 可 复 用 的 功能 要 求 ， 
为 构建 PP 或 ST 选取 输入 











安全 目标 ST 
包括 一 个 CC 评估 保证 级 的 
描述 TOE 的 一 组 完备 要 求 。 





可 包括 保护 轮廓 、 要 求 和 / 
或 其 他 非 CC 要 求 





评估 保证 级 1 


评估 保证 级 2 


选择 性 扩充 ( 非 CC) 
安全 要 求 





评估 保证 级 n 











13-2 CC 各 部 分 之 间 的 关系 


1323 评估 保证 级 别 EAL 


评估 保证 级 别 是 评估 保证 要 求 的 一 种 特定 组 合 (保证 包 ) ,是 度量 保证 措施 的 一 个 尺度 ， 
这 种 尺度 的 确定 权衡 了 所 获得 的 保证 级 别 以 及 达到 该 保证 级 别 所 需 的 代价 和 可 能 性 。 

在 CC 中 定义 了 7 个 递增 的 评估 保证 级 ,这 种 递增 靠 蔡 换 成 同一 保证 子 类 中 的 一 个 更 
高 级 别 的 保证 组 件 (例如 添加 新 的 要 求 ) 实 现 。 以 下 是 7 个 评估 保证 级 别 的 介绍 。 


1. EAL1: 功能 测试 


EAL1 适用 于 对 正确 运行 需要 一 定 信任 的 场合 ,但 在 该 场合 中 对 安全 的 威胁 应 视 为 并 
不 严重 ; 还 适用 于 需要 独立 的 保证 支持 “认为 在 人 员 获 信息 的 保护 方面 已 经 给 予 足够 的 重 
视 ” 这 一 情形 。 该 级 别 依据 一 个 独立 性 测试 和 对 所 提供 指导 性 文档 的 检查 为 用 户 评估 TOE 
(评估 对 象 ) 。 

在 该 级 别 上 ,没有 TOE 开发 者 的 帮助 也 能 成 功 地 进行 评估 ,并且 所 需 费 用 也 最 少 。 通 
过 该 级 别 的 评估 ,可 以 确信 TOE 的 功能 与 其 文档 在 形式 上 是 一 致 的 ,并 且 对 已 标识 的 威胁 
提供 了 有 效 的 保护 。 
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2. EAL2: 结构 测试 


EAL2 要 求 开 发 者 递交 设计 信息 和 测试 结果 ,但 不 需要 开发 者 增加 过 多 的 费用 或 时 间 
的 投入 。 

EAL2 适用 于 以 下 情况 : 在 缺乏 现成 可 用 的 完整 的 开发 记录 时 ,开发 者 或 用 户 需要 一 
种 低 到 中 等 级 别 的 独立 保证 的 安全 性 ,如 对 传统 的 保密 系统 进行 评估 或 不 便于 对 开发 者 进 
行 现场 核查 时 。 

EAL2 通过 以 下 的 因素 提供 支持 : 对 TOE 安全 功能 的 独立 性 测试 ,开发 者 基于 功能 规 
范 进行 测试 得 到 的 证 据 , 对 开发 者 测试 结果 选择 的 独立 确认 ,功能 强度 分 析 , 开 发 者 针对 明 
显 脆弱 性 查找 到 的 证 据 。EAL2 还 通过 一 个 对 TOE 的 配置 列表 和 安全 分 发 过 程 的 证 据 来 

EAL2 在 EAL1 的 基础 上 有 意识 地 增加 了 保证 ,这 是 通过 对 开发 者 测试 的 需要 、 脆 弱 性 
分 析 和 基于 更 详细 的 TOE 规范 的 独立 性 测试 实现 的 。 


3. EAL3: 方法 测试 和 校 验 


在 不 需要 对 现 有 的 合理 的 开发 规则 进行 实质 性 改进 的 情况 下 ,EAL3 可 使 开发 者 在 设 
计 阶 段 能 从 正确 的 安全 工程 中 获得 最 大 限度 的 保证 。 

EAL3 适用 于 以 下 情况 : 开发 者 或 用 户 需要 一 个 中 等 级 别 的 独立 保证 的 安全 性 ,并 在 
不 带 来 大 量 的 再 构建 费用 的 情况 下 .对 TOE 及 其 开发 过 程 进行 彻底 审查 。 

开展 该 级 的 评估 ,需要 分 析 基 于 “ 灰 盒 子 ” 的 测试 结果 、 开 发 者 测试 结果 的 选择 性 独立 确 
认 、 开 发 者 搜索 已 知 脆弱 性 的 证 据 等 。 还 要 求 使 用 开发 环境 控制 措施 、TOE 的 配置 管理 和 
安全 交付 程序 。 

EAL3 在 EAL2 的 基础 上 有 意识 地 增加 了 保证 ,这 是 通过 要 求 更 完备 的 安全 功能 、 机 制 
和 /或 过 程 的 测试 范围 ,以 提供 TOE 在 开发 中 不 会 被 算 改 的 一 些 信任 实现 的 。 


4. EAL4: 系统 地 设计 、 测 试 和 评审 


基于 良好 而 严格 的 商业 开发 规则 ,在 不 需 额外 增加 大 量 专 业 知 识 、 技 巧 和 其 他 资源 的 情 
况 下 ,开发 者 从 正确 的 安全 工程 中 所 获得 的 保证 级 别 最 高 可 达到 EAL4。 在 现 有 条 件 下 ,只 
对 一 个 已 经 存在 的 生产 线 进行 改进 时 ,EAL4 是 所 能 达到 的 最 高 级 别 。 

EAL4 适用 于 以 下 情况 : 开发 者 或 用 户 对 传统 的 商品 化 的 TOE 需要 一 个 中 等 到 高 等 
级 别 的 独立 保证 的 安全 性 ,并 准备 负担 额外 的 安全 专用 工程 费用 。 

开展 该 级 的 评估 ,需要 分 析 TOE 模块 的 底层 设计 和 实现 的 子 集 。 在 测试 方面 将 侧重 
于 对 已 知 脆弱 性 进行 独立 的 搜索 。 开 发 控制 方面 涉及 生命 周期 模型 ,开发 工具 标识 和 自动 
化 配置 管理 等 方面 。 

EAL4 在 EAL3 基础 上 有 意识 地 增加 了 保证 ,这 是 通过 要 求 更 多 的 设计 描述 、 实 现 的 一 
个 子 集 改进 的 机 制 和 /或 能 提供 TOE 不 会 在 开发 和 分 发 过 程 中 被 算 改 的 信任 的 过 程 来 实 
现 的 。 
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5. EAL5: 半 形 式 化 设计 和 测试 


适当 应 用 专业 性 的 一 些 安全 工程 技术 ,并 基于 严格 的 商业 开发 实践 ,EAL5 可 使 开发 者 
从 安全 工程 中 获得 最 大 限度 的 保证 。 如 果 某 个 TOE 要 想 达 到 EAL5 的 要 求 , 开 发 者 需要 
在 设计 和 开发 方面 下 一 定 工夫 ,但 如 果 具 备 相 关 的 一 些 专 业 技术 ,也 许 额 外 的 开销 不 会 
很 大 。 

EAL5 适用 于 以 下 情况 : 开发 者 和 使 用 者 在 有 计划 的 开发 中 ,采用 严格 的 开发 手段 ,以 
获得 一 个 高 级 别 独立 保证 的 安全 性 需要 ,但 不 会 因 采 取 专 业 性 安全 工程 技术 而 增加 一 些 不 
合理 的 开销 。 

开展 该 级 别 的 评估 ,需要 分 析 所 有 的 实现 。 还 需要 额外 分 析 功 能 规范 和 高 层 设 计 的 形 
式 化 模型 和 半 形 式 化 表示 ,以 及 它们 之 间 对 应 的 半 形 式 化 论证 。 在 对 已 知 脆弱 性 的 搜索 方 
面 ,必须 确保 TOE 可 抵御 中 等 攻击 潜力 的 穿 透 性 攻击 者 。 还 要 求 采取 隐蔽 信道 分 析 和 模 
块 化 的 TOE 设计 。 

EAL5 在 EAL4 的 基础 上 有 意识 地 增加 了 保证 ,这 是 通过 要 求 半 形式 化 的 设计 描述 、 整 
个 实现 ,更 结构 化 ( 且 可 分 析 ) 的 体系 .隐蔽 信道 分 析 \ 改 进 的 机 制 和 能 够 相信 TOE 将 不 会 
在 开发 中 被 算 改 的 过 程 实现 的 。 


6. EAL6: 半 形 式 化 验证 的 设计 和 测试 


EAL6 允许 开发 者 通过 在 一 个 严格 的 开发 环境 中 使 用 安全 工程 技术 来 获得 高 度 保证 ， 
以 便 生产 一 个 优异 的 TOE 来 保护 高 价值 的 资源 避免 重大 的 风险 。 所 以 EAL6 适用 于 以 下 
情况 : 安全 TOE 的 开发 应 用 于 高 风险 的 地 方 , 在 这 里 所 保护 的 资源 值得 花费 额外 开销 。 

EAL6 通过 对 安全 功能 的 分 析 提 供 保证 , 它 靠 功能 的 完整 接口 的 一 个 规范 、 指 导 性 文 
档 、TOE 的 高 层 和 低层 设计 和 实现 的 结构 化 表示 来 理解 安全 行为 。 通 过 以 下 方式 获得 额外 
保证 : TOE 的 安全 策略 的 形式 化 模型 ,功能 规范 的 半 形 式 化 表示 ,高 层 设计 和 低层 设计 和 
它们 之 间 的 对 应 关系 的 一 个 半 形 式 化 阐明 。 此 外 还 需要 一 个 模块 化 的 分 层 的 TOE 设计 。 

EAL6 通过 以 下 的 因素 提供 支持 : TOE 安全 功能 的 独立 性 测试 ,基于 功能 规范 的 开发 
者 测试 的 证 据 ,高 层 设 计 和 低层 设计 ,对 开发 者 测试 结果 进行 选择 性 的 独立 确认 ,功能 强度 
分 析 ,开发 者 搜索 脆弱 性 的 证 据 。 

EAL6 也 通过 结构 化 的 开发 流程 的 使 用 .开发 环境 的 控制 .包括 完全 自动 化 的 全 面 的 
TOE 配置 管理 .安全 分 发 过 程 的 证 据 等 提供 保证 。 

EAL6 在 EAL5 的 基础 上 有 意识 地 增加 了 保证 ,这 是 通过 要 求 更 全 面 的 分 析 、 实 现 的 一 
个 结构 化 表示 、 更 构造 化 的 结构 (如 分 层 ) 更 全 面 的 独立 脆弱 性 分 析 、` 系 统 性 隐 项 信道 说 明 
和 改进 了 的 配置 管理 和 开发 环境 控制 实现 的 。 


7. EAL7: 形式 化 验证 的 设计 和 测试 


EAL7 适用 于 在 极端 高 风险 的 形势 下 ,并 且 所 保护 的 资源 价值 极 高 ,值得 花费 更 高 的 开 
销 进行 安全 TOE 的 开发 。EAL7 实际 应 用 于 那些 需要 进行 广泛 的 形式 化 分 析 安 全 功能 的 
TOE。EAL7 通过 对 安全 功能 的 分 析 提 供 保证 , 它 靠 功 能 的 和 完整 接口 的 规范 、 指 导 性 文 
档 、TOE 的 高 层 和 低层 设计 ,实现 的 结构 化 表示 来 理解 安全 行为 。 也 可 以 通过 以 下 方式 额 
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外 地 获得 保证 : TOE 安全 策略 的 形式 化 模型 ,功能 规范 的 形式 化 表示 和 高 层 设 计 , 低 层 设 
计 的 半 形 式 化 表示 ,以 及 它们 之 间 的 对 应 关系 的 适当 的 形式 化 和 半 形 式 化 阐明 。 此 外 还 需 
要 一 个 模块 化 的 、 分 层 的 和 简单 的 TOE 设计 。 

EAL7 通过 以 下 的 因素 来 提供 支持 : TOE 安全 功能 的 独立 性 测试 ,基于 功能 规范 高 层 
设计 的 开发 者 测试 的 证 据 , 低 层 实际 和 实现 表示 ,开发 者 测试 结果 的 完整 的 独立 确认 ,功能 
强度 分 析 , 开 发 者 搜索 脆弱 性 的 证 据 等 。 

EAL7 也 通过 结构 化 的 开发 流程 的 使 用 .开发 环境 的 控制 .包括 完全 自动 化 的 全 面 的 
TOE 配置 管理 .安全 分 发 过 程 的 证 据 等 来 提供 保证 。 

EAL7 在 EAL6 的 基础 上 有 意识 地 增加 了 保证 ,这 是 通过 要 求 使 用 形式 化 表示 和 形式 
化 对 应 的 更 全 面 的 分 析 和 全 面 的 测试 来 实现 的 。 


1324 0C 的 特点 


CC 比 起 早期 的 评估 准则 其 特点 体现 在 其 结构 的 开放 性 、 表 达 方 式 的 通用 性 以 及 结构 
和 表达 方式 的 内 在 完备 性 和 实用 性 等 4 个 方面 。 

在 结构 的 开放 性 方面 ,CC 提出 的 安全 功能 要 求 和 安全 保证 要 求 都 可 以 具体 的 保护 轮 
廓 和 安全 目标 中 进一步 细 化 和 扩展 。 如 可 以 增加 “备份 和 恢复 ”方面 的 功能 要 求 或 一 些 环 境 
安全 要 求 。 这 种 开放 式 的 结构 更 适应 信息 技术 和 信息 安全 技术 的 发 展 。 

通用 性 的 特点 , 即 给 出 通用 的 表达 方式 。 如 果 用 户 、 开 发 者 .评估 者 和 认可 者 等 目标 用 
户 都 使 用 CC 的 语言 ,互相 之 间 就 更 容易 理解 沟通 。 如 果 用 户 使 用 CC 的 语言 表述 自己 的 安 
全 需求 ,开发 者 就 可 以 有 针对 性 地 描述 产品 和 系统 的 安全 性 ,评估 者 也 更 容易 有 效 客观 地 进 
行 评估 ,并 确保 评估 结果 多 用 户 而 言 更 容易 理解 。 这 种 特点 对 规范 实用 方案 的 编写 和 安全 
性 测试 评估 都 具有 重要 意义 。 这 种 特点 也 是 在 经 济 全 球 化 发 展 、 全 球 信息 化 发 展 的 趋势 下 ， 
进行 合格 评定 和 评估 结果 国际 互 认 的 需要 。 

CC 的 这 种 结构 和 表达 方式 具有 内 在 完备 性 和 实用 性 的 特点 ,具体 体现 在 保护 轮廓 和 
安全 目标 的 编制 上 。 保 护 轮廓 主要 用 于 表达 一 类 产品 或 系统 的 用 户 需 求 , 在 标准 化 体系 中 
可 以 作为 安全 技术 类 标准 对 待 。 其 内 容 主要 包括 对 该 类 产品 或 系统 的 界定 性 描述 , 即 确定 
需要 保护 的 对 象 ; 确定 安全 环境 , 即 指 安全 问题 (需要 保护 的 资产 .已 知 的 威胁 .用户 的 组 织 
安全 策略 ); 产品 或 系统 的 安全 目的 , 即 对 安全 问题 的 相应 对 策 ( 技 术 性 和 非 技术 性 措施 ); 
信息 技术 安全 要 求 , 包 括 功能 要 求 、 保 证 要 求 和 环境 要 求 , 这 些 要 求 通过 满足 安全 目的 , 进 一 
步 提 出 具体 在 技术 上 如 何 解 决 安全 问题 ; 基本 原理 , 指 安全 要 求 对 安全 目的 、 安 全 目的 对 安 
全 环境 是 充分 且 必 要 的 ; 以 及 附加 的 补充 说 明 信 息 。 

保护 轮廓 编制 ,一 方面 解决 了 技术 与 实际 需求 之 间 的 内 在 完备 性 ; 另 一 方面 用 户 通过 
分 析 所 需要 的 产品 和 系统 面临 的 安全 问题 ,明确 所 需 的 安全 策略 ,进而 确定 应 采取 的 安全 措 
施 ,包括 技术 和 管理 上 的 措施 ,这 样 就 有 助 于 提高 安全 保护 的 针对 性 和 有 效 性 。 

安全 目标 在 保护 轮廓 的 基础 上 ,通过 将 安全 要 求 进 一 步 有 针对 性 地 具体 化 ,解决 了 要 求 
的 具体 实现 。 通 过 保护 轮廓 和 安全 目标 这 两 种 结构 ,就 便于 将 CC 的 安全 性 要 求 具体 应 用 
到 IT 产品 的 开发 生产、 测试 .评估 和 信息 系统 的 集成 .运行 .评估 和 管理 中 。 
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133 我 国信 息 系 统 安全 评价 标准 


为 了 提高 我 国 计 算 机 信息 系统 安全 保护 水 平 ,以 确保 社会 政治 稳定 和 经 济 建设 的 顺利 
进行 ,公安 部 提出 并 组 织 制定 了 强制 性 国家 标准 GB 17859: 1999《 计 算 机 信息 安全 保护 等 
级 划分 准则 》, 该 准则 于 1999 年 9 月 13 日 经 国家 质量 技术 监督 局 发 布 ,并 于 2001 年 1 月 1 
日 起 实施 。 该 标准 是 建立 安全 等 级 保护 制度 .实施 安全 等 级 管理 的 重要 基础 性 标准 。 它 将 
计算 机 信息 系统 安全 保护 等 级 划分 为 5 个 级 别 ,通过 规范 、 科 学 和 公正 的 评定 和 监督 管理 ， 
一 是 为 计算 机 信息 系统 安全 等 级 保护 管理 法 规 的 制定 和 执法 部 门 的 监督 检查 提供 依据 ; 二 
是 为 计算 机 信息 系统 安全 产品 的 研制 提供 技术 支持 ; 三 是 为 安全 系统 的 建设 和 管理 提供 技 
术 指 导 。 之 后 ,公安 部 于 2002 年 7 月 18 日 还 公布 并 实施 了 一 系列 计算 机 信息 系统 安全 等 
级 保护 标准 ,包括 GA/T 390 一 2002( 计 算 机 信息 系统 安全 等 级 保护 通用 技术 要 求 》GA/T 
388 一 2002 计算机 信息 系统 安全 等 级 保护 操作 系统 技术 要 求 》GA/VT 389 一 2002 计 算 机 信 
息 系统 安全 等 级 保护 数据 库 管理 系统 技术 要 求 》GA/VT 387 一 2002 计 算 机 信息 系统 安全 等 
级 保护 网 络 技术 要 求 》GA/T 391 一 2002 计 算 机 信息 系统 安全 等 级 保护 管理 要 求 } 等 , 进 一 
步 完 善 了 计算 机 信息 系统 安全 等 级 保护 的 标准 体系 。 


1331 所 涉及 的 术语 


在 公安 部 制定 的 信息 系统 安全 评价 标准 中 ,为 了 清晰 地 阐述 标准 的 详细 内 容 ,定义 了 一 
系列 基本 术语 。 这 些 术语 与 TCSEC 中 的 相关 术语 基本 相似 。 

(1) 计算 机 信息 系统 (computer information system): 计算 机 信息 系统 是 由 计算 机 及 
其 相关 的 和 配套 的 设备 .设施 ( 含 网 络 ) 构 成 的 ,按照 一 定 的 应 用 目标 和 规则 对 信息 进行 采 
集 、 加 工 , 存 储 、 传 输 、 检 索 等 处 理 的 人 机 系统 。 

(2) 计算 机 信息 系统 可 信 计 算 基 (trusted computing base of computer information 
system): 计算 机 系统 内 保护 装置 的 总 体 , 包 括 硬件 .固件 .软件 和 负责 执行 安全 策略 的 组 合 
体 。 它 建立 了 一 个 基本 的 保护 环境 并 提供 一 个 可 信 计 算 系统 所 要 求 的 附加 用 户 服务 。 

(3) 客体 (object) : 信息 的 载体 。 

(4) 主体 (subject) : 引起 信息 在 客体 之 间 流 动 的 人 、 进 程 或 设备 等 。 

(5) 敏感 标记 (sensitivity label) : 表示 客体 安全 级 别 并 描述 客体 数据 敏感 性 的 一 组 信 
息 ,可 信 计 算 基 中 把 敏感 标记 作为 强制 访问 控制 决策 的 依据 。 

(6) 安全 策略 (Security Policy): 有 关 管 理 , 保 护 和 发 布 敏感 信息 的 法 律 、 规 定 和 实施 
细则 。 

(7) 信道 (Channel) : 系统 内 的 信息 传输 路 径 。 

(8) 隐蔽 信道 (Covert Channel) : 允许 进程 以 危害 系统 安全 策略 的 方式 传输 信息 的 通 
信和 信道。 

(9) 访问 监控 器 (Reference Monitor) : 监控 主体 和 客体 之 间 授 权 访 问 关系 的 部 件 。 

(10) 可 信和 信道 (Trusted Channel) : 为 了 执行 关键 的 安全 操作 ,在 主体 、 客 体 及 可 信 IT 
产品 之 间 建 立 和 维护 的 保护 通信 数据 免 遭 修改 和 泄露 的 通信 路 径 。 
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(11) 客体 重用 : 在 计算 机 信息 系统 可 信 计 算 基 的 空闲 存储 客体 空间 中 ,对 客体 初始 制 
定 、 分 配 或 再 分 配 一 个 主体 之 前 ,撤销 该 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 
释放 的 客体 的 访问 权时 ,当前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 


1332 等 级 的 划分 及 各 等 级 的 要 求 


《计算 机 信息 系统 安全 保护 等 级 划分 准则 ) 将 信息 系统 划分 为 5 个 等 级 ,分 别 是 自主 保 
护 级 、 系 统 审 计 保 护 级 、 安 全 标记 保护 级 结构 化 保护 级 和 访问 验证 保护 级 。 主 要 的 安全 考 
核 指标 自主 访问 控制 强制 访问 控制 、 安 全 标记 、 身 份 鉴别 、 客 体重 有 用、 审计、 数据 完整 性 、 隐 
项 信道 分 析 、 可 信 路 径 和 可 信 恢 复 等 ,这 些 指标 涵盖 了 不 同 级 别 的 安全 要 求 。 


1. 第 一 级 用 户 自主 保护 级 


本 级 的 计算 机 信息 系统 可 信 计 算 基 通过 隔离 用 户 与 数据 ,使 用 户 具备 自主 安全 保护 的 
能 力 。 它 具有 多 种 形式 的 控制 能 力 , 对 用 户 实施 访问 控制 , 即 为 用 户 提供 可 行 的 手段 ,保护 
用 户 和 用 户 组 信息 ,避免 其 他 用 户 对 数据 的 非法 读 写 与 破坏 。 本 级 有 以 下 考核 指标 的 要 求 。 

1) 自主 访问 控制 

计算 机 信息 系统 可 信 计 算 基 定义 和 控制 系统 中 命名 用 户 对 命名 客体 的 访问 。 实 施 机 制 
(如 访问 控制 表 ) 人 允许 命名 用 户 以 用 户 和 (或 ) 用 户 组 的 身份 规定 并 控制 客体 的 共享 ; 阻止 非 
授权 用 户 读 取 人 敏感 信息 。 

2) 身份 鉴别 

计算 机 信息 系统 可 信 计 算 基 初始 执行 时 ,首先 要 求 用 户 标识 自己 的 身份 ,并 使 用 保护 机 
制 ( 如 密码 ) 鉴 别 用 户 的 身份 ,阻止 非 授权 用 户 访问 用 户 身 份 鉴别 数据 。 

3) 数据 完整 性 

计算 机 信息 系统 可 信 计 算 基 通过 自主 完整 性 策略 ,阻止 非 授权 用 户 修改 或 破坏 敏感 
信息 。 


2. 第 二 级 ”系统 审计 保护 级 


与 用 户 自主 保护 级 相 比 ,本 级 的 计算 机 信息 系统 可 信 计 算 基 实 施 了 粒度 更 细 的 自主 访 
问 控 制 , 通 过 登录 规程 .审计 安全 性 相关 事件 和 隔离 资源 ,使 用 户 对 自己 的 行为 负责 。 本 级 
有 以 下 考核 指标 的 要 求 。 

1) 自主 访问 控制 

计算 机 信息 系统 可 信 计 算 基 定义 和 控制 系统 中 命名 用 户 对 命名 客体 的 访问 。 实 施 机 制 
(如 访问 控制 表 ) 允 许 命名 用 户 以 用 户 和 (或 ) 用 户 组 的 身份 规定 并 控制 客体 的 共享 ; 阻止 非 
授权 用 户 读 取 敏感 信息 ,并 控制 访问 权限 扩散 。 自 主 访问 控制 机 制 根据 用 户 指定 方式 或 默 
认 方 式 , 阻 止 非 授 权 用 户 访问 客体 ,访问 控制 的 粒度 是 单个 用 户 , 没 有 存 取 权 的 用 户 只 允许 
由 授权 用 户 指 定 对 客体 的 访问 权 。 

2) 身份 鉴别 

计算 机 信息 系统 可 信 计 算 基 初始 执行 时 ,首先 要 求 用 户 标识 自己 的 身份 ,并 使 用 保护 机 
制 ( 如 密码 ) 来 鉴别 用 户 的 身份 ; 阻止 非 授权 用 户 访问 用 户 身份 鉴别 数据 。 通 过 为 用 户 提供 
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唯一 标识 .计算 机 信息 系统 可 信 计 算 基 能 够 使 用 户 对 自己 的 行为 负责 。 计 算 机 信息 系统 可 
信 计 算 基 还 具备 将 身份 标识 与 该 用 户 所 有 可 审计 行为 相关 联 的 能 力 。 

3) 客体 重用 

在 计算 机 信息 系统 可 信 计 算 基 的 空闲 存储 客体 空间 中 ,对 客体 初始 指定 、 分 配 或 再 分 配 
一 个 主体 之 前 ,撤销 该 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释放 的 客体 的 访 
问 权 时 ,当前 主体 不 能 获得 原 主 体 活动 所 产生 的 任何 信息 。 

4) 审计 

计算 机 信息 系统 可 信 计 算 基 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ,并 能 阻止 
非 授 权 的 用 户 对 它 访问 或 破坏 。 

计算 机 信息 系统 可 信 计 算 基 能 记录 下 述 事件 : 使 用 身份 鉴别 机 制 ; 将 客体 引入 用 户 地 
址 空间 (如 打开 文件 .程序 初始 化 ); 删除 客体 ; 由 操作 员 、 系 统管 理 员 或 (和 ) 系 统 安全 管理 
员 实 施 的 动作 ,以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ,其 审计 记录 包括 事件 的 
日 期 和 时 间 用户、 事件 类 型 .事件 是 否 成 功 。 对 于 身份 鉴别 事件 ,审计 记录 包含 的 来 源 
(如 终端 标识 符 ); 对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 ,审计 记录 包含 客 
体 名 。 

对 不 能 由 计算 机 信息 系统 可 信 计 算 基 独立 分 辩 的 审计 事件 ,审计 机 制 提供 审计 记录 接 
口 , 可 由 授权 主体 调用 。 这 些 审 计 记录 区 别 于 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 
记录 。 

5) 数据 完整 性 

计算 机 信息 系统 可 信 计 算 基 通过 自主 完整 性 策略 ,阻止 非 授权 用 户 修改 或 破坏 敏感 
祝 息 。 


3. 第 三 级 ”安全 标记 保护 级 


本 级 的 计算 机 信息 系统 可 信 计 算 基 具有 系统 审计 保护 级 所 有 功能 。 此 外 ,还 提供 有 关 
安全 策略 模型 .数据 标记 以 及 主体 对 客体 强制 访问 控制 的 非 形式 化 描述 ; 具有 准确 地 标记 
输出 信息 的 能 力 ; 消除 通过 测试 发 现 的 任何 错误 。 本 级 有 以 下 考核 指标 的 要 求 。 

1) 自主 访问 控制 

计算 机 信息 系统 可 信 计 算 基 定义 和 控制 系统 中 命名 用 户 对 命名 客体 的 访问 。 实 施 机 制 
(如 访问 控制 表 ) 允 许 命名 用 户 以 用 户 和 (或 ) 用 户 组 的 身份 规定 并 控制 客体 的 共享 ; 阻止 非 
授权 用 户 读 取 敏感 信息 。 并 控制 访问 权限 扩散 。 自 主 访问 控制 机 制 根 据 用 户 指定 方式 或 默 
认 方 式 , 阻 止 非 授权 用 户 访问 客体 。 访问 控 制 的 粒度 是 单个 用 户 。 没 有 存 取 权 的 用 户 只 允 
许 由 授权 用 户 指定 对 客体 的 访问 权 。 阻 止 非 授 权 用 户 读 取 敏感 信息 。 

2) 强制 访问 控制 

计算 机 信息 系统 可 信 计 算 基 对 所 有 主体 及 其 所 控制 的 客体 (例如 ,进程 ,文件 、 段 \ 设 备 ) 
实施 强制 访问 控制 。 为 这 些 主体 及 客体 指定 敏感 标记 ,这 些 标记 是 等 级 分 类 和 非 等 级 类 别 
的 组 合 ,它们 是 实施 强制 访问 控制 的 依据 。 计 算 机 信息 系统 可 信 计 算 基 支持 两 种 或 两 种 以 
上 成 分 组 成 的 安全 级 。 计 算 机 信息 系统 可 信 计 算 基 控制 的 所 有 主体 对 客体 的 访问 应 满足 : 
仅 当 主体 安全 级 中 的 等 级 分 类 高 于 或 等 于 客体 安全 级 中 的 等 级 分 类 , 且 主 体 安全 级 中 的 非 
等 级 类 别 包 含 了 客体 安全 级 中 的 全 部 非 等 级 类 别 , 主 体 才能 读 客体 ; 仅 当主 体 安全 级 中 的 
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等 级 分 类 低 于 或 等 于 客体 安全 级 中 的 等 级 分 类 , 且 主 体 安全 级 中 的 非 等 级 类 别 包含 了 客体 
安全 级 中 的 非 等 级 类 别 ,主体 才能 写 一 个 客体 。 计 算 机 信息 系统 可 信 计 算 基 使 用 身份 和 鉴 
别 数据 ,鉴别 用 户 的 身份 ,并 保证 用 户 创建 的 计算 机 信息 系统 可 信 计 算 基 外 部 主体 的 安全 级 
和 授权 受 该 用 户 的 安全 级 和 授权 的 控制 。 

3) 标记 

计算 机 信息 系统 可 信 计 算 基 应 维护 与 主体 及 其 控制 的 存储 客体 (例如 ,进程 文件 、 段 、 
设备 ) 相 关 的 敏感 标记 。 这 些 标 记 是 实施 强制 访问 的 基础 。 为 了 输入 未 加 安全 标记 的 数据 ， 
计算 机 信息 系统 可 信 计 算 基 向 授权 用 户 要 求 并 接受 这 些 数 据 的 安全 级 别 , 且 可 由 计算 机 信 
息 系 统 可 信 计 算 基 审计 。 

4) 身份 鉴别 

计算 机 信息 系统 可 信 计 算 基 初始 执行 时 ,首先 要 求 用 户 标 识 自己 的 身份 ,而 且 , 计 算 机 
信息 系统 可 信 计 算 基 维护 用 户 身份 识别 数据 并 确定 用 户 访问 权 及 授权 数据 。 计 算 机 信息 系 
统 可 信 计 算 基 使 用 这 些 数据 鉴别 用 户 身 份 , 并 使 用 保护 机 制 (如 密码 ) 鉴 别 用 户 的 身份 ; 阻 
止 非 授 权 用 户 访问 用 户 身 份 鉴别 数据 。 通 过 为 用 户 提供 唯一 标识 ,计算 机 信息 系统 可 信 计 
算 基 能 够 使 用 户 对 自己 的 行为 负责 。 计 算 机 信息 系统 可 信 计 算 基 还 具备 将 身份 标识 与 该 用 
户 所 有 可 审计 行为 相关 联 的 能 力 。 

5) 客体 重用 

在 计算 机 信息 系统 可 信 计 算 基 的 空闲 存储 客体 空间 中 ,对 客体 初始 指定 、 分 配 或 再 分 配 
一 个 主体 之 前 ,撤销 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释放 的 客体 的 访问 
权时 ,当前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 

6) 审计 

计算 机 信息 系统 可 信 计 算 基 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ,并 能 阻止 
非 授 权 的 用 户 对 它 访问 或 破坏 。 

计算 机 信息 系统 可 信 计 算 基 能 记录 下 述 事件 : 使 用 身份 鉴别 机 制 ; 将 客体 引入 用 户 地 
址 空间 (如 打开 文件 ,程序 初始 化 ); 删除 客体 ; 由 操作 员 、 系 统管 理 员 或 (和 ) 系 统 安全 管理 
员 实 施 的 动作 ,以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ,其 审计 记录 包括 : 事件 的 
日 期 和 时 间 、 用 户 、 事 件 类 型 .事件 是 否 成 功 。 对 于 身份 鉴别 事件 ,审计 记录 包含 请 求 的 来 源 
(如 终端 标识 符 ); 对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 ,审计 记录 包含 客体 
名 及 客体 的 安全 级 别 。 此 外 ,计算 机 信息 系统 可 信 计 算 基 具有 审计 更 改 可 读 输 出 记号 的 能 
力 。 对 不 能 由 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 事件 ,审计 机 制 提供 审计 记录 接 
口 ,可 由 授权 主体 调用 。 这 些 审计 记录 区 别 于 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 
记录 

7) 数据 完整 性 

计算 机 信息 系统 可 信 计 算 基 通过 自主 和 强制 完整 性 策略 ,阻止 非 授 权 用 户 修改 或 破坏 
敏感 信息 。 在 网 络 环境 中 ,使 用 完整 性 敏感 标记 来 确信 信息 在 传送 中 未 受 损 。 


4. 第 四 级 结构 化 保护 级 


本 级 的 计算 机 信息 系统 可 信 计 算 基 建立 于 一 个 明确 定义 的 形式 化 安全 策略 模型 之 上 ， 
要 求 将 第 三 级 系统 中 的 自主 和 强制 访问 控制 扩展 到 所 有 主体 与 客体 。 此 外 ,还 要 考虑 隐藏 
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通道 。 本 级 的 计算 机 信息 系统 可 信 计 算 基 必须 结构 化 为 关键 保护 元 素 和 非 关 键 保护 元 素 。 
计算 机 信息 系统 可 信 计 算 基 的 接口 也 必须 明确 定义 ,使 其 设计 与 实现 能 经 受 更 充分 的 测试 
和 更 完整 的 复审 。 加 强 了 鉴别 机 制 ; 支持 系统 管理 员 和 操作 员 的 职能 ; 提供 可 信 设 施 管 
理 ; 增强 了 配置 管理 控制 。 系 统 具 有 相当 的 抗 渗透 能 力 。 本 级 有 以 下 考核 指标 的 要 求 。 

1) 自主 访问 控制 

计算 机 信息 系统 可 信 计 算 基 定义 和 控制 系统 中 命名 用 户 对 命名 客体 的 访问 。 实 施 机 制 
(如 访问 控制 表 ) 允许 命名 用 户 和 (或 ) 以 用 户 组 的 身份 规定 并 控制 客体 的 共享 ; 阻止 非 授 权 
用 户 读 取 敏感 信息 。 并 控制 访问 权限 扩散 。 自 主 访问 控制 机 制 根据 用 户 指定 方式 或 默认 方 
式 , 阻 止 非 授 权 用 户 访 问 客体 。 访 问 控 制 的 粒度 是 单个 用 户 。 没 有 存 取 权 的 用 户 只 允许 由 
授权 用 户 指 定 对 客体 的 访问 权 。 

2) 强制 访问 控制 

计算 机 信息 系统 可 信 计 算 基 对 外 部 主体 能 够 直接 或 间接 访问 的 所 有 资源 (例如 ,主体 、 
存储 客体 和 输入 输出 资源 ) 实 施 强制 访问 控制 。 为 这 些 主体 及 客体 指定 敏感 标记 ,这 些 标 记 
是 等 级 分 类 和 非 等 级 类 别 的 组 合 , 它 们 是 实施 强制 访问 控制 的 依据 。 计 算 机 信息 系统 可 信 
计算 基 支 持 两 种 或 两 种 以 上 成 分 组 成 的 安全 级 。 计 算 机 信息 系统 可 信 计 算 基 外 部 的 所 有 主 
体 对 客体 的 直接 或 间接 的 访问 应 满足 : 仅 当 主体 安全 级 中 的 等 级 分 类 高 于 或 等 于 客体 安全 
级 中 的 等 级 分 类 , 且 主 体 安全 级 中 的 非 等 级 类 别 包 含 了 客体 安全 级 中 的 全 部 非 等 级 类 别 , 主 
体 才能 读 客体 ; 仅 当 主体 安全 级 中 的 等 级 分 类 低 于 或 等 于 客体 安全 级 中 的 等 级 分 类 , 且 主 
体 安全 级 中 的 非 等 级 类 别 包含 于 客体 安全 级 中 的 非 等 级 类 别 ,主体 才能 写 一 个 客体 。 计 算 
机 信息 系统 可 信 计 算 基 使 用 身份 和 鉴别 数据 ,鉴别 用 户 的 身份 ,保护 用 户 创建 的 计算 机 信息 
系统 可 信 计 算 基 外 部 主体 的 安全 级 和 授权 受 该 用 户 的 安全 级 和 授权 的 控制 。 

3) 标记 

计算 机 信息 系统 可 信 计 算 基 维 护 与 可 被 外 部 主体 直接 或 间接 访问 到 的 计算 机 信息 系统 
资源 (如 主体 、 存 储 客体 、 只 读 存储 器 ) 相 关 的 敏感 标记 。 这 些 标记 是 实施 强制 访问 的 基础 。 
为 了 输入 未 加 安全 标记 的 数据 ,计算 机 信息 系统 可 信 计 算 基 向 授权 用 户 要 求 并 接受 这 些 数 
据 的 安全 级 别 , 且 可 由 计算 机 信息 系统 可 信 计 算 基 审计 。 

4) 身份 鉴别 

计算 机 信息 系统 可 信 计 算 基 初始 执行 时 ,首先 要 求 用 户 标识 自己 的 身份 ,而 且 , 计 算 机 
信息 系统 可 信 计 算 基 维护 用 户 身份 识别 数据 并 确定 用 户 访问 权 及 授权 数据 。 计 算 机 信息 系 
统 可 信 计 算 基 使 用 这 些 数据 ,鉴别 用 户 身份 ,并 使 用 保护 机 制 (如 密码 ) 鉴 别 用 户 的 身份 ; 阻 
止 非 授权 用 户 访 问 用 户 身份 鉴别 数据 。 通 过 为 用 户 提 供 唯一 标识 ,计算 机 信息 系统 可 信 计 
算 基 能 够 使 用 户 对 自己 的 行为 负责 。 计 算 机 信息 系统 可 信 计 算 基 还 具备 将 身份 标识 与 该 用 
户 所 有 可 审计 行为 相关 联 的 能 力 。 

5) 客体 重用 

在 计算 机 信息 系统 可 信 计 算 基 的 空闲 存储 客体 空间 中 ,对 客体 初始 指定 、 分 配 或 再 分 配 
一 个 主体 之 前 ,撤销 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释放 的 客体 的 访问 
权时 ,当前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 

6) 审计 

计算 机 信息 系统 可 信 计 算 基 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ,并 能 阻止 


282 信息 安全 原理 及 应 用 (第 3 版 ) 





非 授权 的 用 户 对 它 访 问 或 破坏 。 

计算 机 信息 系统 可 信 计 算 基 能 记录 下 述 事件 : 使 用 身份 鉴别 机 制 ; 将 客体 引入 用 户 地 
址 空间 (如 打开 文件 ,程序 初始 化 ); 删除 客体 ; 由 操作 员 、 系 统管 理 员 或 (和 ) 系 统 安全 管理 
员 实 施 的 动作 ,以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ,其 审计 记录 包括 事件 的 日 
期 和 时 间 、 用 户 、 事 件 类 型 .事件 是 否 成 功 。 对 于 身份 鉴别 事件 ,审计 记录 包含 请 求 的 来 源 
(如 终端 标识 符 ); 对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 ,审计 记录 包含 客 
体 及 客体 的 安全 级 别 。 此 外 ,计算 机 信息 系统 可 信 计 算 基 具有 审计 更 改 可 读 输出 记号 的 
能 力 。 

对 不 能 由 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 事件 ,审计 机 制 提供 审计 记录 接 
口 , 可 由 授权 主体 调用 。 这 些 审 计 记 录 区 别 于 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 
记录 。 

计算 机 信息 系统 可 信 计 算 基 能 够 审计 利用 隐蔽 存储 信道 时 可 能 被 使 用 的 事件 。 

7) 数据 完整 性 

计算 机 信息 系统 可 信 计 算 基 通过 自主 和 强制 完整 性 策略 。 阻 止 非 授 权 用 户 修改 或 破坏 
敏感 信息 。 在 网 络 环境 中 ,使 用 完整 性 敏感 标记 来 确信 信息 在 传送 中 未 受 损 。 

8) 隐蔽 信道 分 析 

系统 开发 者 应 彻底 搜索 隐蔽 存储 信道 ,并 根据 实际 测量 或 工程 估算 确定 每 一 个 被 标识 
信道 的 最 大 带宽 。 

9) 可 信 路 径 

对 用 户 的 初始 登录 和 鉴别 ,计算 机 信息 系统 可 信 计 算 基 在 它 与 用 户 之 间 提 供 可 信和 通信 
路 径 。 该 路 径 上 的 通信 只 能 由 该 用 户 初始 化 。 


5. 第 五 级 ”访问 验证 保护 级 


本 级 的 计算 机 信息 系统 可 信 计 算 基 满足 访问 监控 器 需求 。 访 问 监控 器 仲裁 主体 对 客体 
的 全 部 访问 。 访 问 监控 器 本 身 是 抗 自 改 的 ; 必须 足够 小 ,能 够 分 析 和 测试 。 为 了 满足 访问 
监控 器 需求 ,计算 机 信息 系统 可 信 计 算 基 在 其 构造 时 ,排除 那些 对 实施 安全 策略 来 说 并 非 必 
要 的 代码 ; 在 设计 和 实现 时 ,从 系统 工程 角度 将 其 复杂 性 降低 到 最 小 程度 。 支 持 安全 管理 
员 职 能 ; 扩充 审计 机 制 , 当 发 生 与 安全 相关 的 事件 时 发 出 信号 ; 提供 系统 恢复 机 制 。 系 统 
有 具有 很 高 的 抗 渗透 能 力 。 本 级 有 以 下 考核 指标 的 要 求 。 

1) 自主 访问 控制 

计算 机 信息 系统 可 信 计 算 基 定义 并 控制 系统 中 命名 用 户 对 命名 客体 的 访问 。 实 施 机 制 
(如 访问 控制 表 ) 允许 命 名 用 户 和 (或 ) 以 用 户 组 的 身份 规定 并 控制 客体 的 共享 ; 阻止 非 授权 
用 户 读 取 敏感 信息 。 并 控制 访问 权限 扩散 。 

自主 访问 控制 机 制 根 据 用 户 指定 方式 或 默认 方式 ,阻止 非 授权 用 户 访问 客体 。 访 问 控 
制 的 粒度 是 单个 用 户 。 访 问 控制 能 够 为 每 个 命名 客体 指定 命名 用 户 和 用 户 组 ,并 规定 他 们 
对 客体 的 访问 模式 。 没 有 存 取 权 的 用 户 只 允许 由 授权 用 户 指定 对 客体 的 访问 权 。 

2) 强制 访问 控制 

计算 机 信息 系统 可 信 计 算 基 对 外 部 主体 能 够 直接 或 间接 访问 的 所 有 资源 (例如 ,主体 、 
存储 客体 和 输入 输出 资源 ) 实 施 强 制 访问 控制 。 为 这 些 主体 及 客体 指定 敏感 标记 ,这 些 标 记 
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是 等 级 分 类 和 非 等 级 类 别 的 组 合 , 它 们 是 实施 强制 访问 控制 的 依据 。 计 算 机 信息 系统 可 信 
计算 基 支 持 两 种 或 两 种 以 上 成 分 组 成 的 安全 级 。 计 算 机 信息 系统 可 信 计 算 基 外 部 的 所 有 主 
体 对 客体 的 直接 或 间接 的 访问 应 满足 : 仅 当 主体 安全 级 中 的 等 级 分 类 高 于 或 等 于 客体 安全 
级 中 的 等 级 分 类 , 且 主 体 安 全 级 中 的 非 等 级 类 别 包含 了 客体 安全 级 中 的 全 部 非 等 级 类 别 , 主 
体 才能 读 客体 ; 仅 当 主体 安全 级 中 的 等 级 分 类 低 于 或 等 于 客体 安全 级 中 的 等 级 分 类 , 且 主 
体 安全 级 中 的 非 等 级 类 别 包 含 了 客体 安全 级 中 的 非 等 级 类 别 ,主体 才能 写 一 个 客体 。 计 算 
机 信息 系统 可 信 计 算 基 使 用 身份 和 鉴别 数据 ,鉴别 用 户 的 身份 ,保证 用 户 创建 的 计算 机 信息 
系统 可 信 计 算 基 外 部 主体 的 安全 级 和 授权 受 该 用 户 的 安全 级 和 授权 的 控制 。 

3) 标记 

计算 机 信息 系统 可 信 计 算 基 维护 与 可 被 外 部 主体 直接 或 间接 访问 到 计算 机 信息 系统 资 
源 ( 如 主体 .存储 客体 .只 读 存 储 器 ) 相 关 的 敏感 标记 。 这 些 标记 是 实施 强制 访问 的 基础 。 为 
了 输入 未 加 安全 标记 的 数据 ,计算 机 信息 系统 可 信 计 算 基 向 授权 用 户 要 求 并 接受 这 些 数据 
的 安全 级 别 , 且 可 由 计算 机 信息 系统 可 信 计 算 基 审计 。 

4) 身份 鉴别 

计算 机 信息 系统 可 信 计 算 基 初始 执行 时 ,首先 要 求 用 户 标识 自己 的 身份 ,而 且 , 计 算 机 
信息 系统 可 信 计 算 基 维护 用 户 身份 识别 数据 并 确定 用 户 访问 权 及 授权 数据 。 计 算 机 信息 系 
统 可 信 计 算 基 使 用 这 些 数据 ,鉴别 用 户 身份 ,并 使 用 保护 机 制 ( 如 密码 ) 来 鉴别 用 户 的 身份 ; 
阻止 非 授 权 用 户 访问 用 户 身份 鉴别 数据 。 通 过 为 用 户 提供 唯一 标识 ,计算 机 信息 系统 可 信 
计算 基 能 够 使 用 户 对 自己 的 行为 负责 。 计 算 机 信息 系统 可 信 计 算 基 还 具备 将 身份 标识 与 该 
用 户 所 有 可 审计 行为 相关 联 的 能 力 。 

5) 客体 重用 

在 计算 机 信息 系统 可 信 计 算 基 的 空闲 存储 客体 空间 中 ,对 客体 初始 指定 、 分 配 或 再 分 配 
一 个 主体 之 前 ,撤销 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释放 的 客体 的 访问 
权时 ,当前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 

6) 审计 

计算 机 信息 系统 可 信 计 算 基 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ,并 能 阻止 
非 授 权 的 用 户 对 它 访问 或 破坏 。 

计算 机 信息 系统 可 信 计 算 基 能 记录 下 述 事件 : 使 用 身份 鉴别 机 制 ; 将 客体 引入 用 户 地 
址 空间 (如 打开 文件 \ 程 序 初始 化 ); 删除 客体 ; 由 操作 员 、 系 统管 理 员 或 (和 ) 系 统 安全 管理 
员 实 施 的 动作 ,以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ,其 审计 记录 包括 : 事件 的 
日 期 和 时 间 用户 、 事 件 类 型 .事件 是 否 成 功 。 对 于 身份 鉴别 事件 ,审计 记录 包含 请 求 的 来 源 
(如 终端 标识 符 ); 对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 ,审计 记录 包含 客体 
名 及 客体 的 安全 级 别 。 此 外 ,计算 机 信息 系统 可 信 计 算 基 具有 审计 更 改 可 读 输 出 记号 的 
能 力 。 

对 不 能 由 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 事件 ,审计 机 制 提供 审计 记录 接 
口 , 可 由 授权 主体 调用 。 这 些 审 计 记 录 区 别 于 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 
记录 。 计 算 机 信息 系统 可 信 计 算 基 能 够 审计 利用 隐藏 存储 信道 时 可 能 被 使 用 的 事件 。 

计算 机 信息 系统 可 信 计 算 基 包含 能 够 监控 可 审计 安全 事件 发 生 与 积累 的 机 制 , 当 超过 
闽 值 时 ,能够 立即 向 安全 管理 员 发 出 报警 。 并 且 , 如 果 这 些 与 安全 相关 的 事件 继续 发 生 或 积 
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累 , 系 统 应 以 最 小 的 代价 终止 它们 。 

7) 数据 完整 性 

计算 机 信息 系统 可 信 计 算 基 通过 自主 和 强制 完整 性 策略 ,阻止 非 授权 用 户 修改 或 破坏 
敏感 信息 。 在 网 络 环境 中 ,使 用 完整 性 敏感 标记 来 确信 信息 在 传送 中 未 受 损 。 

8) 隐蔽 信道 分 析 

系统 开发 者 应 彻底 搜索 隐蔽 信道 ,并 根据 实际 测量 或 工程 估算 确定 每 一 个 被 标识 信道 
的 最 大 带宽 。 

9) 可 信和 路 径 

当 连 接 用 户 时 (如 注册 、 更 改 主体 安全 级 ) ,计算 机 信息 系统 可 信 计 算 基 提 供 它 与 用 户 之 
间 的 可 信和 通信 和 路径。 可 信和 路 径 上 的 通信 中 能 由 该 用 户 或 计算 机 信息 系统 可 信 计 算 基 激 活 ， 
在 逻辑 上 与 其 他 路 径 上 的 通信 相隔 离 , 且 能 正确 地 加 以 区 分 。 

10) 可 信和 恢复 

计算 机 信息 系统 可 信 计 算 基 提供 过 程 和 机 制 ,保证 计算 机 信息 系统 失效 或 中 断后 ,可 以 
进行 不 损害 任何 安全 保护 性 能 的 恢复 。 


1333 对 标准 的 分 析 


从 等 级 的 划分 可 以 看 出 ,从 第 三 安全 级 开始 增加 了 强制 访问 控制 的 要 求 ,同时 保留 了 自 
主 访问 控制 安全 要 求 。 自 主 访问 控制 允许 某 客体 的 主体 授权 其 他 主体 向 其 客体 写 数 据 , 这 
样 可 以 解决 低 完整 性 级 别 的 主体 向 高 完整 性 级 别 的 客体 写 入 数据 的 问题 。 对 于 要 求 达到 第 
三 级 以 上 安全 等 级 的 系统 ,需要 以 强制 访问 控制 为 主 ,只 能 在 有 限 的 主体 范围 内 允许 自主 访 
问 控制 。 考 虑 到 在 网 络 环境 中 ,数据 在 传输 过 程 中 可 能 受 损 ,因此 在 数据 完整 性 要 求 中 , 特 
意 要 求 使 用 完整 性 敏感 标记 来 确信 信息 在 传输 过 程 中 没有 受到 损害 。 

和 TCSEC 比较 来 看 ,第 五 等 级 并 不 简单 地 对 应 TCSEC 的 B3 等 级 ,实际 上 还 包含 了 部 
分 Al 安全 级 的 要 求 。B3 安全 级 要 求 系统 由 主体 /客体 安全 保护 区 域 , 有 能 力 实现 对 每 个 
客体 的 访问 控制 ,使 每 次 访问 都 受到 检查 ,客体 的 访问 区 域 限 定 在 某 个 安全 区 域内 ,但 这 些 
要 求 并 未 在 第 五 安全 级 内 明确 体现 。Al 安全 级 要 求 对 系统 的 形式 模型 有 充分 的 验证 ,要 
求 有 顶级 涉及 与 系统 形式 模型 的 一 致 性 说 明 , 并 要 求 对 隐蔽 信道 的 分 析 说 明 , 因 此 ,第 五 等 
级 更 接近 TCSEC 中 的 Al 级 。 


附录 A 信息 安全 实验 


本 附录 共 包 含 8 个 实验 内 容 , 读 者 可 以 通过 这 些 内 容 ,进一步 加 深 对 信息 安全 基础 理论 
的 理解 ,掌握 安全 理论 与 技术 的 应 用 方法 。 

实验 中 涉及 的 软件 一 般 为 开源 软件 或 者 免费 软件 ,使 用 广泛 ,每 一 种 软件 都 给 了 相应 的 
官方 网 站 ,可 以 下 载 使 用 。 


Al 三 重 DES 加 密 软 件 的 开发 
【实验 目的 .环境 及 背景 知识 】 


1. 实验 目的 


通过 开发 三 重 DES 加 密 软件 ,进一步 理解 对 称 加 密 体制 的 基本 原理 ; 了 解 对 称 加 密 算 
法 在 文件 保护 中 的 应 用 ; 了 解 利 用 Java 开发 加 密 软 件 的 方法 和 Java 中 关于 加 密 的 类 。 


2. 实验 环境 


硬件 : 主流 配置 计算 机 。 
软件 : JDK(http://www. oracle. com/ technetwork/indexes/ downloads/index. html 下 载 ) 。 


3. 背景 知识 


Java 中 的 javax. crypto 包 定 义 了 密码 操作 所 需 的 各 种 类 和 接口 ,能 够 实现 加 密 、 密 钥 生 
成 和 密 钥 协商 \ 消 息 认证 码 的 生成 等 ,支持 对 称 密码 、 非 对 称 密码 、 分 组 密码 和 流 密码 ,也 支 
持 安全 流 和 封装 的 对 象 。 

javax. crypto 包 中 提供 的 许多 类 都 是 基于 提供 程序 的 (provider 一 based)。 类 本 身 定义 
了 一 个 可 编程 的 接口 供 许多 应 用 程序 使 用 ,并 根据 需要 无 缝 肉 入 。 因 此 ,应 用 程序 开发 人 员 
可 以 利用 任意 数量 的 基于 提供 程序 的 实现 ,而 无 需 添 加 或 重 写 代码 。 

软件 包 javax. crypto. spec 则 为 密 钥 规范 和 算法 参数 规范 提供 类 和 接口 。 密 钥 规范 是 
组 成 一 个 密 钥 的 密 钥 内 容 的 透明 表示 形式 。 可 以 用 特定 于 算法 的 方式 或 与 算法 无 关 的 编码 
格式 (如 ASN. 1) 来 指定 一 个 密 钥 。 此 包 包 含 Diffie 一 Hellman 公 钥 和 私 钥 的 密 钥 规范 ,也 
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包含 DES Triple DES 以 及 PBE 密 钥 的 密 钥 规 范 。 算 法 参数 规范 是 随同 算法 使 用 的 参数 
集合 的 透明 表示 形式 。 此 包 包 含 随同 Diffie<-Hellman、DES Triple DES、PBE、RC2 以 及 
RC5 算法 使 用 的 那些 参数 的 参数 规范 。 


【实验 步骤 】 
利用 Java 开发 一 个 文件 加 密 软件 ,使 之 能 够 对 任何 文件 通过 三 重 DES 加 密 ,加 密 密 钥 


keyl、key2、key3 由 用 户 输入 的 24 个 字符 构成 ,加 密 后 生成 的 文件 为 “原文 件 名 . tdes”。 
程序 运行 后 的 界面 如 图 A-l 所 示 。 


图 文件 加 客 工具 (3DES) 















































图 A-1 3DES 加 密 程序 运行 界面 


单 击 “ 浏 览 ..…. ”按钮 可 选择 加 密 或 解密 的 文件 。 然 后 输入 24 个 字符 的 密 钥 ,程序 自动 取 
前 8 个 字符 为 keyl ,中 间 8 个 字符 为 key2 ,最 后 8 个 字符 为 key3。 之 后 , 单 击 * 加 密 ?或 “ 解 
密 ” 按 钮 , 即 可 进行 加 密 或 解密 。 注 意 ,在 对 文件 解密 时 ,在 文件 选择 文本 框 里 的 文件 扩展 名 
必须 为 . tdes。 

参考 程序 FileEncrypter. java 如 下 : 





import java.awt. *; 
import java.awt. event. *; 
import javax. swing. *; 
import java. lang. *; 
import java. io. *; 
import java. security. *; 
import javax. crypto. *; 
import javax. crypto. spec. *; 
public class FileEncrypter extends JFrame 
{ 
public static void main(String args[]) 
{ 
FileEncrypter fe = new FileEncrypter(); 
fe. show(); 


} 


FileEncrypter() 
{ 
this. setSize(550,200); 
this. setDefaultCloseOperation(JFrame. EXIT ON_CLOSE); 
this. setLocation(400, 300); 
this. setTitle(" 文 件 加 密 工具 (3DES)"); 
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Container c = this.getContentPane(); 
c. setLayout( new FlowLayout()); 
JLabel label = new JLabel(" 文 件 选择 "); 
c.add(label); 
final JTextField fileText = new JTextField(35); 
c.add(fileText); 
JButton chooseButton = new JButton(" 浏 览 ..."); 
chooseButton. addhctionListener(new ActionListener() // 以 下 编写 "浏览 …" 按 钮 的 监听 和 事件 
{ 
public void actionPerformed(RctionEvent e) 
{ 
JFileChooser chooser = new JFileChooser(); 
chooser. setCurrentDirectory(new File(".")); 
int result = chooser. showOpenDialog(null); 
if(result == JFileChooser. APPROVE_OPTION)// 获 得 选择 的 文件 绝对 路 径 
{ 
String path = chooser.getSelectedFile().getAbsolutePath(); 
fileText. setText (path); 
} 


D); //" 浏 览 …" 按 钮 的 监听 和 事件 编写 完毕 
c.add(chooseButton) ; 
JLabel label2 = new JLabel(" 密 钥 (24 个 字符 ): "); 
c.add(label2); 
final JTextField keyText = new JTextField(35); 
c.add(keyText); 
JButton jbE = new JButton(" 加 密 "); 
c.add( jbE); 
jbE. addActionListener(new ActionListener() // 以 下 编写 "加 密 " 按 钮 的 监听 和 事件 
{ 
public void actionPerformed( ActionEvent event) 
{ 
String wenjian, miyao; 
wenjian = fileText.getText(); 
miyao = keyText.getText(); 
if("".equals(wenjian) || wenjian== null) 
JOptionPane. showMessageDialog (null, "请 选择 文件 !", "提示 ", JOptionPane. 
OK_OPTION) ; 
else 
if("".equals(miyao) | | miyao== null) 
JOptionPane. showMessageDialog (null," 请 输入 24 字 节 密 钥 !", 提示 "， 
JOptionPane. OK_OPTION) ; 
else 


{ 





if(miyao. length()! = 24) 
{ 
JOptionPane. showMessageDialog(null, " 密 钥 必须 为 24 字 节 !", "提示 "， 
JOptionPane. OK_OPTION) ; 
} 


else 


{ 


288 


信息 安全 原理 及 应 用 (第 3 版 ) 





keyl1), key2),key3); 


byte[ ] keyl = miyao. substring(0, 8). getBytes(); 
byte[ ] key2 = miyao. substring(8, 16). getBytes(); 
byte[ ] key3 = miyao. substring(16, 24). getBytes(); 


// 将 3 个 密 钥 分 别 存 人 字 节 型 数组 中 


File file= new File(wenjian); 
byte[ ] plain = bytefromfile(file); 


// 读 取 明 文 并 存 人 字 节 型 数组 Plain 中 ,bytefronfile( ) 方 法 定义 在 后 


try 


byte[ ] bytOut = encryptBYDES (encryptBYDES(encryptBYDES (Plain, 


// 实 施加 密 , 加 密 后 的 密 文字 节 存 储 在 bytout 中 
//encryptByDES() 方 法 定义 在 后 

String fileOut = wenjian + ".tdes"; 

FileOutputStream fos = new FileOutputStream(fileOut); 

for(int i = 0;i< bytOut. length;i++) 

| 
fos. write( (int)bytOut[i]); 

} 

fos.close(); // 将 bytout 数组 的 内 容 写 人 新 文件 

JOptionPane. showMessageDialog (null," 加 密 成 功 !"," 提示"， 


JOptionPane. INFORMRTION_MESSRGE) ; 


} 


catch( Exception e) 


JOptionPane. showMessageDialog(null, "加 密 失败 ! 请 检查 文件 或 


密 钥 !", "提示 ", JOptionPane. OK_OPTION) ; 


} 


} 


} 
} 


}); // 编 写 " 加 密 " 按 钮 的 监听 和 事件 完毕 
JButton jbD = new JButton(" 解 密 "); 
c.add( jbD); 
jbD. addActionListener(new ActionListener() 
// 以 下 编写 "解密 "按钮 的 监听 和 事件 


{ 


public void actionPerformed(RctionEvent event) 


{ 


String wenjian, wenjianl, miyao; 
wenjian = fileText.getText(); 
miyao = keyText.getText(); 
if("".equals(wenjian) | | wenjian== null) 
{ 
JOptionPane. showMessageDialog(null, "请 选择 文件 !", "提示 "， 


JOptionPane. OK_OPTION) ; return; 


equals(". tdes")) 


} 
if (wenjian. substring (wenjian. length( ) - 5). toLowerCase ( ) . 


if(miyao. length()! = 24) 
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| 
JOptionPane. showMessageDialog (null," 密 钥 必须 为 24 字 
节 !", "提示 ", JOptionPane. OK_OPTION) ;return; 
} 
else 
{ 
wenjianl = wenjian. substring(0,wenjian. length()— 5); 
JFileChooser chooser = new JFileChooser(); 
chooser. setCurrentDirectory(new File(".")); 
chooser. setSelectedFile(new File(wenjianl)); 


// 用 户 指 定 要 保存 的 文件 
int ret = chooser. showSaveDialog(null); 
if(ret == 0) 


byte[ ] keyl = miyao. substring(0,8).getBytes(); 
byte[ ] key2 = miyao. substring(8,16). getBytes(); 
byte[ ] key3 = miyao. substring(16, 24). getBytes( ); 
// 读 取 解 密 密 钥 
File file= new File(wenjian); 
byte[ ] miwen = bytefromfile(file);// 读 取 密 文 
try 
{ 
byte[] bytOut = decryptByDES ( decryptByDES 
(decryptByDES (miwen, key3), key2),keyl1); 
// 实 施 解密 ,加 密 后 的 密 文字 节 存 储 在 bytout 中 ,decryptBYDES () 方 法 定义 在 后 
File fileQut = chooser.getSelectedFile(); 
fileOut. createNewFile( ); 
FileOutputStream fos = new FileOutputStream 
(fileOut); 
for(int i = 0;i< bytOut. length;i++) 
{ 
fos. write( (int)bytOut[i]); 
} 
fos. close(); 
JOptionPane. showMessageDialog (null," 解 密 成 
功 !", "提示", JOptionPane. INFORMATION_MESSAGE); 
} 
catch(Exception e) 
{ 
JOptionPane. showMessageDialog(null, "解密 失败 ! 请 
检查 文件 或 密 钥 !", "提示", JOptionPane. OK_OPTION); 
} 


} 
else 
{ 
JOptionPane. showMessageDialog(null, "不 是 合法 的 加 密 文件 !"," 
提示 ", JOptionPane. OK_OPTION); 
return; 


} 
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});// 编 写 "解密 "按钮 的 监听 和 事件 完毕 
} 


private byte[ ] bytefromfile(File filein) 
{ 
byte[ ] TextofFile = new byte[ (int)filein. length()]; 
try 
{ 
FileInputStream fin = new FileInputStreanm(filein); 
for(int i=0;i<filein. length();i++) 
{ 
TextofFile[i] = (byte)fin. read(); 
} 


fin. close(); 


catch( IOException e) 
{ 

System. err. println(e); 
} 

return TextofFile; 


} // 此 方法 从 输入 文件 中 逐 字 节 读 取 , 存储 在 TextofFile 数组 中 并 返回 此 数组 的 值 


private byte[ ] encryptByDES(byte[ ] bytP, byte[ ] bytKey) throws Exception 
{ 
DESKeySpec desKS = new DESKeySpec(bytKey); 
SecretKeyFactory skf = SecretKeyFactory.getInstance("DES"); 
SecretKey sk = skf.generateSecret(desKS); 
Cipher cip = Cipher. getInstance("DES"); 
cip. init(Cipher. ENCRYPT_MODE, sk); 
return cip. doFinal (bytP); 
} // 此 方法 根据 输入 的 明文 字 节 和 密 钥 字 节 进 行 加 密 运算 ,并 返回 密 文 字 节 


private byte[ ] decryptBYDES(byte[ ] bytE, byte[ ] bytKey) throws Exception 
{ 
DESKeySpec desKS = new DESKeySpec(bytKey); 
SecretKeyFactory skf = SecretKeyFactory.getInstance("DES"); 
SecretKey sk = skf.generateSecret(desKS); 
Cipher cip = Cipher. getInstance( "DES"); 
cip. init(Cipher. DECRYPT_ MODE, sk); 
return cip. doFinal (bytE); 
} // 此 方法 根据 输入 的 密 文字 节 和 密 钥 字 节 进行 解密 运算 ,并 返回 明文 字 节 
} 


将 以 上 程序 编译 并 运行 。 然 后 选择 “明文 . txt” 文 件 , 输 入 24 字 节 的 密 钥 后 进行 加 密 ， 
如 图 A-2 所 示 。 


图 文件 加 定 工具 (3DES) 





文件 选择 Davaydktcase2 明 文 志 

















窗 负 (24 个 字符 ) : |qweryuiopasdfghjkizxcvb 


Lm 




















图 A-2 文件 加 密实 例 


附录 A 信息 安全 实验 291 





“明文 . txt” 被 加 密 后 存储 在 同一 目录 下 ,文件 名 为 “明文 . txt. tdes”。“ 明 文 . txt” 和 “ 明 
文 . txt. tdes” 中 的 内 容 对 比如 图 A-3 所 示 。 


外 明文 . txt.tde 记事 本 ” 厂 ]| 刁 | 区 
文件 中 六 名 也 格式 Q) 查看 W) 帮助 0) 


5 其 上 JS-Y 放 二 
恢 气 、 He | 





el hh 
a a “Qt 
?PES RN? 


-=f 修 路 80??r 平 





(a) 明文 .txt (b) 明文 .txt.tdes 
图 A-3 明文 和 密 文 的 对 比 


【思考 题 】 


(1) 理解 以 上 程序 代码 ,运行 后 尝试 加 密 其 他 类 型 的 文件 。 
(2) 不 利用 Java 自 带 的 加 密 功 能 类 ,编写 Java 程序 实现 文件 加 密 、 解 密 功能 。 


A 人 ”PGP 软件 的 使 用 
【实验 目的 ,环境 及 背景 知识 】 


1. 实验 目的 


解 公 钥 加 密 体 制 的 加 密 、 解 密 过 程 以 及 密 钥 使 用 方式 ; 了 解密 钥 的 管理 方式 和 信任 
关系 ; 了 解数 字 签 名 的 基本 概念 和 使 用 方式 .包括 如 何 对 文件 进行 签名 、 验 证 ; 掌握 PGP 的 
体系 结构 和 应 用 原理 。 


2. 实验 环境 


硬件 : 主流 配置 计算 机 。 
软件 : 安装 Windows 2000/2003/XP 操作 系统 ,PGP Desktop 9.0 版 。 


3. 背景 知识 


PGP(pretty good privacy) 是 一 个 应 用 广泛 的 加 密 、 数 字 签 名 应 用 软件 ,用 来 保护 隐私 
信息 。 以 前 ,PGP 是 一 种 邮件 加 密 软 件 , 被 用 于 保证 邮件 在 传输 过 程 中 的 保密 性 和 不 可 否 
认 性 。 目 前 ,PGP 技术 已 被 赛 门 铁 克 公司 收购 。 

PGP 有 面向 普通 用 户 的 Desktop 版 本 和 面向 企业 用 户 的 Universal 版 本 。9. 0 版 大 小 
为 23MB, 适 合 普 通用 户 使 用 。 本 实验 采用 的 是 Desktop 9.0 版 。 

PGP 采用 的 加 密 体制 为 非 对 称 加 密 体 制 , 即 公 钥 加 密 体 制 。 通 信 时 ,传输 内 容 用 对 方 
的 公 钥 加 密 ,对 方 收 到 后 ,用 自己 的 私 钥 解密 。 在 进行 数字 签名 时 , 则 用 自己 的 私 钥 对 内 容 
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进行 签名 ,对方 收 到 后 用 对 应 的 公 钥 来 进行 验证 。 

PGP 在 密 钥 管理 方面 采用 了 基于 用 户 信任 的 模式 ,其 密 钥 对 由 软件 自动 生成 , 私 钥 由 
用 户 通过 密码 进行 保护 。 

PGP 能 完成 文件 加 密 .解密 、 数 字 签 名 及 验证 .电子 邮件 加 密 以 及 即时 通信 加 密 ( 目 前 
只 支持 AIM, 不 支持 MSN 等 即时 通信 软件 ) 。 


【实验 步骤 】 


1. 安装 


解压 缩 包 后 ,计算 机 重启 动 开 始 安 装 , 部 分 计算 机 可 能 需要 重新 启动 两 次 。 安 装 过 程 中 
基本 上 只 需 单 击 “ 下 一 步 "按钮 ,如 图 A-4 所 示 。 


PGP Setup Resistart 


| fi User Type 
由 This assistant wilhelp you configure PGP and iniialze your keys， 
国 国 园 时 


Enable User Please select one, 
N 


OLamanew user, 
5 人 D1have used PGP before and Ihave existing keys. 
Key Generation 
Global Directory 
Messaging 
dditional Features 








A-4 进入 安装 PGP 的 界面 


新 用 户 注册 需要 输入 用 户 名 ,也 就 是 使 用 者 的 名 字 和 E-mail 地 址 ,用 来 标识 密 钥 对 。 
可 以 任意 输入 ,如 图 A-5 所 示 。 

然后 ,用 户 输入 保存 私 钥 的 密码 ,不 少 于 8 个 字符 ,这 串 密码 需要 用 户 牢记 。 今 后 在 使 
用 私 钥 的 时 候 就 需要 输入 这 串 密 码 ,如 图 A-6 所 示 。 

软件 自动 为 用 户 生成 密 钥 对 。 


2. 主 界面 介绍 


在 “开始 "菜单 里 面 会 找到 新 安装 的 PGP Desktop 软件 。 打 开 后 界面 如 图 A-7 所 示 。 
目前 此 界面 中 只 有 用 户 本 人 的 密 钥 对 。 同 时 在 托盘 栏 上 会 显示 一 把 小 锁 [ERB . 
右 击 可 以 看 到 一 些 快捷 功能 。 
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PGp Setup Kssistant 


Name and Email Assignment 


Every key pair must have a name associated with t. The name and email address let 
a Desktop 9 Your correspondents know that the public key they are using belongs to you, 





Enable User 

New User Ful Name: EIT 

Key Generation 
Int 











Primary Emall: |pingxioneD1@126. con 








Global Directory 
Messaging 
nal Features 


Clhck Advanced for more key settings, 


LESwIE 3] (RR) 
图 A-5 新 用 户 注 册 





POP Setop Assistart 


Passphrase Assignment 


Ye /ae key will be protected passphrase, It is important that this 
= 6 ° Desktop 9 earl eda 





Enable User 


New User Your passphrase should be at least 8 characters long and should contain 
Key Generation non-alphabetic characters, 





K 
Global Directory 
Messaging 
nal Features 














图 A-6 生成 密 钥 
用 户 的 私 钥 在 开机 第 一 次 输入 后 ,PGP 会 默认 将 其 存放 在 缓存 中 ,用 到 时 就 无 须 再 专 
门 输入 ,其 显示 为 蒋 , 如 果 不 希 望 存放 在 缓存 中 ,可 以 右 击 ,选择 Clear Caches 项 。 
3. 加 密 /解密 本 地 文件 


在 只 有 用 户 自己 的 密 钥 对 时 ,可 以 加 密 / 解 密 本 地 的 文件 。 
(1) 加 密 文 件 


加 密 的 方式 有 几 种 ,甚至 可 以 不 打开 desktop ,直接 在 需要 加 密 的 文件 上 右 击 , 如 图 A-8 
所 示 。 
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a PGP Desktop ATT Keys 
Fle Edt Vew Toos Keys Hep 


Newrerzp veryrer zp | 





Shedries Skeysearh Sysymckeys Fnd 


TAll Keys 晶 日 日 
Emal valdty 
xiongping pingxiong01@126.com © 










PGP Keys 








BMy Private Keys 
以 Search for Keys 

















er 

















Sion 

| 发 送 到 (NM) "| Encrypt & Sign 
得 切 ID sd 

| 复制 (O 

“他 吐 亿 反方 式 加 Sn 








图 A-8 ”加 密 本 地 文件 


在 快捷 菜单 中 选择 Encrypt 项 ,出 现 一 个 选择 密 钥 的 对 话 框 ,如 图 A-9 所 示 。 


Ws POP Deskiop * Key Selection Dialog 








iongping <pingxiong01@126.com> 


厂 Text Output 

TT Input Is Text 

shred orgnal 

厂 Secure Viewer 

厂 convenktional Enayption 
厂 Self Decrypting Archive 





图 A-9 选择 加 密 密 钥 
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默认 使 用 本 人 的 密 钥 进行 加 密 , 直 接 单 击 
OK 按钮 , 即 可 完成 加 密 , 生 成 加 密 文件 ,加 密 
后 的 文件 后 缀 名 为 . pgp。 

(2) 解密 文件 

解密 时 双击 被 加 密 文件 的 图 标 , 会 产生 对 
话 框 ,如 图 A-10 所 示 。 

图 中 上 部 的 文本 框 显示 此 文件 由 谁 的 密 钥 
进行 加 密 , 解 密 者 在 空白 框 中 输入 相应 的 私 钥 
密码 (在 图 A-6 中 输入 的 密码 。 注 意 , 此 密码 并 
非 私 钥 本 身 ) 即 可 解密 。 解密 后 的 文件 可 以 在 
PGP Desktop 中 看 到 ,如 图 A-11 所 示 。 


欧 My rrvare Keys 
以 Search for Keys 


Location' 


二 pop.2lencom 


[] Messaging Log 


Name 
加 pop.doc 











Message was enctypled to the folowing publc key{s] 
iongping Ginexioneolel26- con> (ESA/2048) 





Show Keystrokes 
Enter passphrase for your private Key : 





Co) enel | 





A-10 输入 解密 密码 





Date Modified 
2008-4-19 10:42 


Size Type 
1.20 MB Microsoft Word 文档 


A-11 解密 文件 在 主 窗口 显示 


4. 加 密 /解密 同伴 文件 


这 种 加 密 文件 的 目的 是 为 了 通信 双方 的 文件 安全 传送 ,也 就 是 说 ,A 加 密 的 文件 ,B 收 
到 以 后 可 以 顺利 打开 。 这 就 需要 双方 不 但 要 有 自己 的 密 钥 对 ,还 需要 有 对 方 的 公 钥 ,传送 
前 ,A 用 对 方 B 的 公 钥 对 文件 进行 加 密 ,B 收 取 后 用 自己 的 私 钥 进行 解密 还 原 出 明文 。 


1) 交换 并 导入 公 


首先 双方 互相 交换 自己 的 公 钥 。 从 PGP 中 导出 自己 的 密 钥 并 发 送 给 对 方 ,注意 这 里 导 
出 的 是 公 钥 ,而 不 是 密 钥 对 ,在 需要 导出 的 密 钥 上 右 击 ,如 图 A-12 所 示 。 


Ta mn Neys 





Name 
田 伍 ae 
a 


MyPrivate Keys 
以 Search for keys 


PB Emalthskey 











图 A-12 导出 公 钥 
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然后 在 弹出 的 快捷 菜单 中 选择 Export Key 项 ,保存 为 . acs 文件 ,这 个 公 钥 文件 使 用 二 
进 制 ASCII 码 保存 ,如 果 用 写字 板 打开 ,可 以 看 到 如 图 A-13 所 示 的 内 容 。 


-----BEGIN PGP PUBLIC KEY BLOCK- 一 一 
Version: PGP Desktop 9.0.5 - Enterprise license 


mAQENBEgEovdBCADMSUoAnmM21wCAMGSwt NAErrZvt 8azMu6F618GtwDdk3MDOlnT 
S17emaWsJ3IRJiFJDd4r+3FQNYIX]jKJOhI82YhTIEWybwkv8K16aEgv0OkjjNIkczu 
GCLooNp/bml qdRaAkevNdKvpSeLQ3eI0L36EGUbDONAj2SLEsDAuy567erQd2shén 
VrMIqbdyHOWNFzjU05/ikZkiLNWzHZIDSQvRfC6Wjuz5iWboncAObnlYYEuqEZEYS 
M3cKDFUP80731k1zS8dyzbwm6398joEAUMbAbcZUPSq43TwS MmPRSPhHy VbUw YE 
YQ37iTwbUqC5wx5aa0wW6FT4HUt 21RtN2XPBABEBAAGOH3hpb25ncG luZyA8cG lu 
Z3hpb25rlIDFANTI2LmNvbT6JAWOEEAECAFcFAkgEovdwFIAAAAAATAAHCHJT1ZmYy 
cmVkLWIt YW sLWYuY29kaW5nQHBncC5jb21wZ3BtaWllBwsJCAcDAgoCGQEFGwIA 
AAADFg TBBRABAAAABPUICQoACekQW OmN1aT jEnDwf +NmPOBhwY8Pq8TJ/VEHRT 
jvOdenHTHzHsF jnG WUSrKov¥OzPkMAMuHS jAwt+t oQQAORSuOzw9cmC WnT 2zornk 
fwfVLkyUlbTk4DhP jkEbRXiSsOUKfDnOLO91Grr6P4CUPhat 1hxuQLu+cxQZ5mHh 
AlrL147FI8/xPe7hnTdz6jCWgcOa+t5ri7lwmI/93zy8H1JfWjiRPRfBWiD5jp7u9 
JG3BoS5QeRdspULNMeakPbDtnTWewijtBOWyOx906fqldGqdu] jHAT5SNniZP9S8hYG 
1HrLq5vFC1mKpYde8hzHF amMSfXKYz9jsiBPjSNDKYTpWhF aAUecH1wO9VBiPLI9 
+HLkBDQARIBKMBAQgA2y753KYuehdNt]j8vsaBKGWiQeLf la964mj jTAALPkoDwNt a 
ay/T0qn09fxwET+muFsJepyt31QS0NUaJBXvlwnWRFgNkqIdkiw3zqtZuFQGcCXxh 
9KlrtRQpORSOUOZ59/ 2tKMPOHLEbRnFOl1TzBv9NroFHIaedt 9W2YSh0/r6j+95hE 
2YAtK4+aaxLd4I3UQwdDih02/mnLH82mapca0rmqVFLuRalCKmUKcobQ65bnlf4HWme 
Td4kd1VtnCcja+0ysSGqpdbJnIQti77TFiUFKQcnd473nbEnBmXBn7Tg14/mB2o60afvgh 
+DfWhBvUqhly8Npc02+fEZDUegktp5Qkdk2ME TQARAQABiQEiBBeBAgAMBAJTIBKIG 
BRsMAAAAAAOJEF1pdJ jdWudyLxQIANuLxATEKWU+zD8FQAGIwEdTo0ScobiySNeEg 
EpkJ+/3Ef9dbmjKwLZYAJi2TV6ivhsWK5n987alfcLO4KVTZhesKudfhha6CVIs0z 
csFnEu8CPP/Amd0xBTKSNjD5TOWT1NsXDWbTyW1VWmRWVizWxJIGcnvrInJKZs2VYkz0 
wH8bQJNc9Fr3baimvwaAlCT1Lo7E0OEPCXwtTHZyQWvwdySF3Rrkwn6C02HBrErVbFDN 
iASyedftB6U/4jpjvDHCj+lLnzXoWohXJZqHzElBbtuquOx/uteeulnfnJ 8wmJoY 
Uqw9bre52T5dHLExW8szae7RzyNThIXTifzBtnPgXqr3tP1D78k= 

=JIQng 

-一 一 END PGP PUBLIC KEY BLOCK 一 一 


A-13 公 钥 的 内 容 


加 密 后 的 文字 显然 没有 人 能 够 读 懂 , 也 无 法 根据 此 公 钥 推导 出 私 钥 。 通 过 电子 邮件 或 网 
上 邻居 把 此 . asc 文件 传送 给 同伴 。 同 样 , 同 伴 也 导出 自己 的 公 钥 ,传送 过 来 。 在 接收 到 同伴 的 
公 钥 后 ,导入 到 PGP 密 钥 环 中 : 双击 接收 到 的 . asc 文件 ,然后 出 现 对 话 框 ,如 图 A-14 所 示 。 





sclect key(s) 


Select the key(s) you would like to import to your keyring: 
Name Emal Valdty 


s" ET D 








图 A-14 导入 公 钥 


单 击 Import 按钮 ,此 时 ,在 主 界面 中 就 出 现 了 密 钥 的 信息 ,如 图 A-15 所 示 。 
但 是 这 个 密 钥 后 面 的 validity 属性 还 不 是 绿色 ,而 是 白色 ,表明 正确 性 没有 被 验证 ,也 
就 是 主人 还 没有 完全 信任 这 把 钥匙 。 可 以 用 其 加 密 文 件 , 但 还 不 能 用 它 验 证 数字 签名 。 
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人 CPUESROP AITKeys 


Fle Edt Wew Ioos keys Help 


说 wrapa veriypepzp shredFies 以 esea smckeys Fnd| 


加 
TT 3 + A keys QB 





Name Emal Validity 
BMyPrivateKeys 国 寺 akce ice@126.com © 
以 Search for keys 和 





a Emailth Recpiert 
他 Emailthskey 


A-15 密 钥 显示 窗口 


解决 方法 是 主人 用 自己 的 私 钥 对 这 把 新 来 的 钥匙 进行 签名 ,表示 自己 已 经 认可 了 。 具 
体 方法 是 在 新 钥匙 上 右 击 ,选择 sign 项 ,出 现 PGP Sign Key 对 话 框 ,如 图 A-16 所 示 。 


By signing the selected User ID(s), you are certifying based on your own direct first-hand knowledge that the 
key(s) and attached user ID(s) actually belong to the identified user(s). 


Before signing, make sure the key(s) were given to you In a secure manner by the owner or you have veriied the 
Fingerprint with the owner. 





KeylUser Name Fingerprint 
dleo G. Laporte (Petaluma, CA, USA... AGCB E898 FE77 C58D 2C7E 8DDB D407 62E6 OC8F SE9D 


图 2 
Mow sonature to be exported, Others may rely upon your sionature,| 


Ca) Fe Ctee 
图 A-16 信任 对 方 的 公 钥 














单 击 OK 按钮 后 ,输入 主人 的 那 串 密码 ,就 签名 成 功 ,新 钥匙 后 面 的 圆 点 变 成 绿色 。 

2) 加 密 文件 

选择 要 加 密 文 件 , 用 刚 导 入 的 对 方 的 公 钥 进 行 加 密 , 会 生成 一 个 新 的 文件 ,这 就 是 加 密 
后 的 文件 。 可 以 通过 各 种 方式 把 这 个 文件 传送 给 对 方 。 对 方 接收 后 直接 双击 ,然后 输入 自 
己 的 私 钥 来 解密 ,得 到 明文 文件 。 

注意 : 此 时 加 密 后 的 文件 本 人 是 无 法 打开 的 。 只 能 是 拥有 对 应 私 钥 的 用 户 可 以 打开 。 
以 保证 文件 在 传输 过 程 中 的 机 密 性 。 


5. 数字 签名 及 验证 


PGP 也 可 以 完成 数字 签名 和 验证 的 过 程 。 用 私 钥 对 文件 进行 签名 ,验证 时 则 用 公 钥 。 
选择 要 得 名 的 文件 , 右 击 ,选择 PGP Zip 习 Sign 命令 ,出 现 如 图 A-17 所 示 的 对 话 框 。 

选择 用 自己 的 私 钥 加 密 , 单 击 OK 按钮 , 则 在 同一 个 目录 下 出 现 一 个 以 . sig 为 后 缀 的 签 
名 文件 ,此 签名 文件 和 原文 件 结合 使 用 。 验 证 时 ,双击 sig 文件 , 主 窗 口 里 会 显示 此 文件 的 
签名 者 .签名 日 期 ,以 及 签名 是 否 有 效 。 如 果 该 文件 的 Validity 属性 显示 为 绿色 圆 点 ,如 
图 A-18 所 示 , 则 表示 签名 有 效 。 

如 果 原 文件 被 破坏 ,如 其 中 内 容 被 修改 , 则 验证 失败 ,如 图 A-19 所 示 。 
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PGP Desktop ~ Enter Passphrase 


Signing key : 
siongping @ingionanlel26 com> (ESM2048) 








The passphrase of the cunently selected key has been cached. 





EE | 





A-17 选择 自己 的 私 钥 签名 


= Overcaton ristoy 
使 Mkeys Name Signer KeyID valdty Sonec 
BMyPrvate Keys 测试 文件 bt。 xiongping <pingxiong01@..，0xDD5AEE32 © 2008-4-1911:15:48 
以 Search for Keys 


图 A-18 文件 通过 数字 签名 验证 


© verification History 


全 Alkeys pr Soner KeyD Valdty Soned 
@ MyPrivate Keys 测试 文件 .bt wiongpng <pingxiong01@@,.，0xDDSAEE32 Bad Signature 
以 Searchfor keys 


A-19 文件 的 数字 签名 验证 失败 


其 中 文件 名 前 面 出 现 红色 禁止 符号 ,并 且 Validity 项 也 没有 绿色 圆 点 显示 。 表 明文 件 
已 经 被 破坏 ,验证 失败 。 
注意 : 验证 签名 时 必须 拥有 签名 者 的 公 钥 ,否则 无 法 验证 。 


6. 加 密 / 签 名 邮件 


在 早期 的 版 本 中 ,PGP 在 安装 的 时 候 会 在 邮件 客户 端 Outlook 的 菜单 栏 中 产生 一 个 图 
标 , 当 邮件 需要 加 密 时 , 单 击 图 标 、. 选 择 加 密 用 密 钥 就 可 以 完成 加 密 。 但 是 在 9. x 版 本 中 ， 
PGP 采用 了 一 种 新 思路 : 把 PGP 作为 一 个 邮件 服务 器 来 转发 需要 加 密 、 解 密 的 邮件 。 很 多 
人 觉得 这 部 分 变 得 很 困难 , 没 法 正确 加 密 邮 件 , 在 PGP 的 官网 论坛 中 ,被 问 到 最 多 的 问题 就 
是 邮件 加 密 如 何 设置 。 

(1) 设置 邮件 账户 。 让 PGP 自动 检测 到 邮件 账户 有 两 个 条 件 ,一 个 是 要 使 用 邮件 客户 
端 ,如 Outlook ,如 果 使 用 Web 登录 ,PGP 就 无 法 检测 ; 另 一 个 条 件 是 必须 先 安装 Outlook， 
再 安装 PGP ,否则 就 检测 不 到 。 

当 PGP 安装 成 功 后 ,PGP Server 作为 一 个 服务 常 驻 内 存 ,Desktop 最 小 化 显示 在 托盘 
栏 , 能 自动 检测 邮件 客户 端 , 当 确定 用 此 账户 发 送 和 接收 的 邮件 需要 加 密 时 ,如 图 A-20 所 
示 ,PGP 读 取 邮件 账户 中 的 POP、SMTP 信息 ,自动 生成 一 个 邮件 代理 服务 。 

注意 : 这 里 很 多 人 手工 填写 Server 信息 ,在 PGP 的 用 户 手 册 中 也 是 这 样 提示 的 ,但 是 
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有 时 候 , 手 工 填写 Server 后 ,PGP 检测 不 到 账户 。 所 以 最 好 什么 都 不 填 , 等 待 PGP 发 现 账 
户 后 自动 填写 。 


PGP New Service Kssistant 


Email Account Detected 


PGP Desktop has detected an emal account and is able to secure this account by processing 
PIGIP Desktop 9 emal automatically as t is sent and 站 





Enable Service Should PGP process email account: zhutq@126.com 了 
Key Setup 


Key Generation 
© Yes, secure this emal accourt) 


© No, do not secure ths emall account 


Noke: You may change your settings later from the PGP Desktop application. 





A-20” 设 定 电子 邮件 账户 


(2) 加 密 /签名 上 邮件。 如果 要 对 发 送 的 邮件 进行 加 密 , 就 选择 加 密 所 使 用 的 公 钥 , 如 图 A-21 
所 示 , 这 里 的 公 钥 当然 是 收 信 人 的 公 钥 。 


PGP New Service Assistant 


Select Key 
PGP can use one of your existing PGP Desktop keys, 


SIP MDeskiopy 


Enable Service alce <alce@126.com> 
KK hxiongpng <pngxiong01B126.com> 


Select a key from the list: 








A-21 选择 加 密 的 公 钥 


如 果 要 对 发 送 的 邮件 签名 则 用 自己 的 私 钥 ( 注 意 , 所 有 涉及 签名 的 地 方 都 是 用 自己 的 私 
钥 ) ,在 下 个 对 话 框 中 输入 签名 所 需 的 私 钥 密码 ,如 图 A-22 所 示 。 

下 面 是 一 个 用 Outlook 写 信 并 加 密 和 签名 的 例子 。 发 送 成 功 后 ,托盘 栏 中 会 出 现 一 个 
提示 ,如 图 A-23 所 示 ,表示 信件 已 经 被 加 密 后 发 送 。 
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Message was enctypted to the folowing public key{s] : 





alice Calice@126. con> (RSA/2046) 
iongping @pingxionanl8126. com》 (RSA/2048) 




















Show Keystrokes 
Passphrase of dectyption key : 
3 PGP Desktop Messaging x 
Message tst encrypted to xiongpingO1@21cn,com and signed 
re i ak 
图 A-22 对 邮件 进行 签名 A-23 ”邮件 发 送 成 功 提示 


被 PGP 加 密 后 的 邮件 内 容 如 图 A-24 所 示 。 


——---BEGIN PGP ESSAGE———— 
Version: PGP Desktop 9.0.5 


QANQR1DBwEwD te SrkNPuODMBB/4alte6LbvL4ZbJ 3ERmD78z210xWvszXytWnBSTE 
9gGZRceg8aYdC?71szO1GYtvCrd+8f Tkc89dOLz+PounCL6BeY2L+WWJoMrrT/efFr 
5y8RZuwG2WG3I7EyScxs+jYJYfWVO0Q40U5TqKfB/CnK7sFZ+jWGOZCh2kQX5+dAx 
z0BPL/rslWA3fp7arb47RJDylvxiIN5ro0rLXZNcU3TZ3IUAEyzqlsi8yeUPWIdN 
YE5MyTnlcdUbhHZig6z3KSgNi7G+3rTFQabn33BdIIkqnY2HkFGjF9uIYOgrFmVQL 
Waddk3nJopU7gX2H5hDmNqZJI[VuH9Q+PWuWST5ojzbityytoInwcEILAAoYz7rZRANX 
saQgaArBgxCyaPlwuHWJEzVktuN9yIFJxtHEKEBjKbHImSxY1DQDXc3E/7IG2kg+LXL 
TYU+5cQTc7hdYwiOhxRXWqW2wYIV5c1L1pyagnOFgi99yhLCgG1UPtOLj3DJio9e 
916JET7j+8Ss68ZguuSBakTVbIExzLFcxFCPIxKEAfpEUSzY6Flmzua2a+olG23Y 
tcy7pJjIFmpYrVYHhBORfLdrH5NtaW5RgRBZ8zEe6DawK56AUufV21grA306t3UfEm 
8gRKJJ6GUZW1d26ZoJRIvKHtrvtuxuq3y+zmZ6JIRN45E6bNMPYYIBQBVYcYibr7TP 
IEwwScWR2+K7Pp5xXj+ejdafNLAtgG6osVAG6ZIcsi5osoZIpYWEYPwZE2j7nsY 
ysUirn3Z48F&ntZI6ml6wTfjgkJhJ6jjX2n0x+fUOJFaz9EPtylvq8/Ka30EKQDO 
tSYEHBW+ooRq+Aq+a5UuIJ3KgY1pAtEKqCGeBqGZW1IDL9wtJFj8cHvpxgtQnmYxFdj 
T3IQrw6chAs036wYqetYfY31jhBhlwqFZbN6cxqtujijTRieUsPeghuCiqlmTSQGY 
TNOXmnuaSnNRBFKUNMw+QuHf trkfry7tphc7hvnJERH1V9xqH7fY12Ny8BJIrXQuSI 
omLOUJBD9YwrI7a62aDqLL5Jf1LBEVbyRyUJgrff YuaXGyu8qabtcKqW/lNnoAvX 
YG5/fYaoMcIGrwFQTDNsgiODudZD5x29a]JJ ShwAFBncal3SfyKpbAqoNwf pAHAYG 
KbIqHKUSSvUj82qlyNAWIMNPpviPOWcFNMCrKhZ TeYFeDbk TeXBfXxwIrP2YXEPDHBy 
yclTcli9374rDE3Hw 

=miJ2 





-END PGP JEESSAGE- 一 一 
A-24 邮件 的 密 文 


可 以 看 到 邮件 已 经 完全 变 成 了 密 文 。 当 然 ,这 个 密 文 是 用 Web 登录 到 邮箱 里 面 去 看 到 
的 ,如 果 用 Outlook 来 收 信 的 话 ,PGP 会 为 其 自动 解密 。 

接收 者 的 Outlook 在 接收 邮件 时 ,如 果 遇 xiongping [xiongping01@21cn. com] 
到 加 密 的 邮件 ,PGP 会 使 用 相应 的 密 钥 解密 收 # 人 mainaleelem em _ 
(前 提 是 密 钥 已 经 存在 于 钥匙 环 中 ) ,解密 后 得 ”x*pGp signed 04/21108 at 20.53:29, Decrypted 
到 邮件 的 明文 ,如 图 A-25 所 示 , 并 标明 此 邮件 
的 加 密 者 和 签名 者 ,以 及 签名 的 日 期 。 

如 果 利 用 Web 登录 ,也 可 以 解密 邮件 。 只 DE ee 
需 把 这 封 信 ( 密 文 ) 全 文 复制 ,在 托盘 栏 的 PGP 
图 标 上 点 击 右键 并 选择 Decrypt&.Verify 项 , 即 人 
可 解密 剪贴 板 里 的 内 容 , 注 意 复制 的 时 候 要 连同 密 文中 PGP 的 分 割 线 一 同 复制 。 


7. 创建 被 加 密 的 虚拟 磁盘 
PGP 可 以 利用 自己 的 密 钥 对 创建 一 个 或 多 个 虚拟 磁盘 ,通过 私 钥 进 行 访问 。 那 么 用 户 就 


Justatest 
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可 以 把 自己 的 机 密 文 件 存放 在 这 个 虚拟 磁盘 下 而 不 怕 别 人 用 自己 的 电脑 的 时 候 看 到 了 。 
具体 方式 如 下 : 利用 PGP 的 PGP Disk 菜单 下 的 New Virtual Disk( 新 建 虚拟 磁盘 ) 命 
令 可 以 建立 虚拟 磁盘 。 然 后 ,设置 磁盘 大 小 和 访问 密码 ,如 图 A-26 所 示 。 


全 TCFTESROP Unified 
Fle Edt Yew Tooks Dsk Hep 


阐 wwrea 人 wyreze 国 sredfes 内 = 


Enter Dlsk propertles 


Disk Location Grose 
Sbe [ED 
Available Space: C:\ (B032 MB) 
© marcy 
加 MountatStartup 


Virtual Disk Authentication 
Ep 


Username 
Entar Passphrase: 


Passphrase Qualty 


Confrm Passphrase 








A-26 设置 虚拟 磁盘 


最 后 生成 新 的 虚拟 磁盘 。 此 磁盘 操作 和 普通 磁盘 一 样 ,只 是 访问 的 时 候 需要 输入 密码 ， 
这 样 可 以 保证 其 他 人 在 不 知道 密码 的 情况 下 无 法 访问 ,保证 数据 的 机 密 性 。 
当 不 需要 用 到 它 的 时 候 则 可 以 在 磁盘 上 右 击 ,选择 Unmount Disk 命令 ,磁盘 就 会 消失 。 


【思考 题 】 


(1) 如 何 用 PGP 加 密 文 档 里 面 的 一 段 文字 ? 
(2) PGP 采用 的 何 种 加 密 体 制 ? 


A 配置 访问 控制 列表 
【实验 目的 、 环 境 及 背景 知识 】 了 


1. 实验 目的 

掌握 在 交换 机 上 配置 访问 控制 列表 的 方法 。 

2. 实验 环境 

在 某 学 校 的 校园 网 内 部 ,有 一 台 三 层 交 换 机 锐 捷 S3550-24 连 着 学 校 的 WWW 和 FTP 
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服务 器 ,另外 还 连 着 学 生 宿 舍 楼 和 教工 宿舍 楼 , 现 














在 要 求 在 该 交换 机 上 通过 访问 控制 列表 的 配置 ， WWWI/FTP 
使 学 生 只 能 访问 FTP 服务 器 ,不 能 访问 WWW 服 服务 名 
务 器 ,教工 则 没有 这 个 限制 。 1925168:10,0 

在 实验 环境 中 ,用 一 台 主 机 模拟 学 生 宿舍 区 F0/5 
的 用 户 ,用 一 台 主 机 模拟 教工 宿舍 区 的 用 户 ,再 用 全 时 二 
一 台 主 机 模拟 服务 器 ,因此 实验 设备 包括 : 锐 捷 ES M00 己 评 
S3550-24 交换 机 一 台 ,主流 配 置 计算 机 三 台 , 直 连 “学 生 区 和 教工 区 
线 三 根 。 实 验 环境 如 图 A-27 所 示 。 图 A-27 实验 拓扑 结构 图 

3. 背景 知识 


1) 交换 机 的 配置 模式 

对 交换 机 进行 配置 的 命令 有 4 层 模 式 : 用 户 模 式 、 特 权 模式 、 全 局 模式 和 端口 模式 。 每 
一 层 模 式 下 包含 的 命令 不 同 , 所 能 实现 的 配置 功能 也 不 同 。 

(1) 用 户 模式 : 和 交换 机 连接 上 之 后 ,就 进入 了 命令 配置 的 最 外 层 模式 ,这 就 是 用 户 模 
式 。 在 该 模式 下 仅仅 可 以 查看 交换 机 的 软 \ 硬 件 版 本 信息 ,并 进行 简单 的 测试 。 该 模式 下 的 
命令 提示 符 是 switch> 。 

(2) 特权 模式 : 由 用 户 模式 进入 更 内 一 层 模式 , 即 特权 模式 。 特 权 模 式 下 可 以 对 交换 
机 的 配置 文件 进行 管理 ,查看 交换 机 的 配置 信息 ,进行 网 络 的 测试 和 调试 等 。 特 权 模式 下 的 
命令 提示 符 是 switch 并 。 

(3) 全 局 配置 模式 : 由 特权 模式 进入 更 内 一 层 模式 , 即 全 局 配置 模式 。 该 模式 下 可 以 
配置 交换 机 的 全 局 性 质 参 数 , 如 主机 名 、 登 录 信息 等 。 全 局 模式 下 的 命令 提示 符 是 switch 
(config)#。 

(4) 端口 模式 : 由 全 局 配置 模式 进入 更 内 一 层 模 式 , 即 端口 模式 。 该 模式 下 可 以 对 交 
换 机 的 端口 进行 参数 配置 ,其 命令 提示 符 是 switch(config-if) # 。 

在 以 上 任何 一 种 模式 下 都 可 以 通过 输入 "?” 显 示 当 前 模式 下 的 全 部 可 执行 的 命令 及 其 
解释 。 

2) ACL 

访问 控制 列表 (access control list,ACL) 最 直接 的 功能 就 是 包 过 滤 。 通 过 访问 控制 列 
表 可 以 在 路 由 器 .三 层 交 换 机 上 进行 网 络 安全 属性 的 配置 ,实现 对 进入 路 由 器 三 层 交 换 机 
的 数据 流 进行 过 滤 。 

控制 数据 流 的 定义 可 以 基于 网 络 地 址 .TCP/UDP 的 应 用 等 ,可 以 选择 对 于 符合 过 滤 标 
准 的 流 是 丢弃 还 是 转发 ,因此 必须 知道 网 络 是 如 何 设计 的 ,以 及 路 由 器 接口 是 如 何在 过 滤 设 
备 上 使 用 的 。 

ACL 分 为 标准 访问 控制 列表 和 扩展 访问 控制 列表 。 其 中 ,标准 访问 控制 列表 仅 可 以 根 
据 数 据 包 的 源 IP 地 址 定义 规则 ,进行 数据 包 的 过 滤 。 扩 展 访问 控制 列表 则 可 以 根据 数据 包 
的 源 IP、 目 的 也、 源 端 口 、 目 的 端口 .协议 来 定义 规则 ,进行 数据 包 过 滤 。 

访问 控制 列表 的 标识 可 以 是 数字 编号 ,也 可 以 由 用 户 命 名 。 如 果 进 行 编号 ,那么 标准 访 
问 控制 列表 的 编号 范围 是 1 一 99.1300 一 1999 ,扩展 访问 控制 列表 的 编号 范围 是 100 一 199、 
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2000 一 2699。 
【实验 步骤 】 


1. 连接 交换 机 


用 交换 机 的 配置 线 缆 将 主机 与 交换 机 的 console 端口 连接 ,然后 通过 “超级 终端 "建立 
主机 与 交换 机 的 连接 ,如 图 A-28 所 示 。 


ese 
输入 名 称 并 为 雇 连 接 选 择 图 标 ， 
名 称 0) 


图 标 ) 


柄 @@ 六 四 @ 国 男 


还 原因 兴 仿 0 | 


| 


本 证 一 ] [一 更 而 一] |- 互 用 





图 A-28 ”建立 与 交换 机 的 连接 
输入 连接 名 ,选择 连接 端口 ,并 将 端口 的 通信 速率 设置 为 9600。 
2. 基本 配置 


建立 连接 之 后 ,进入 超级 终端 命令 窗口 ,命令 提示 符 显 示 为 "switch 二 ”, 即 处 于 交换 机 
的 用 户 模 式 , 输 入 用 户 名 和 密码 ,进入 全 局 配置 模式 ,开始 配置 (以 下 黑体 是 命令 提示 符 , 后 
面 是 用 户 输入 的 命令 )。 创 建 三 个 VLAN: VLAN10、VLAN20、VLAN30。 服 务 器 属于 
VLAN10, 教 工区 的 主机 属于 VLAN20, 学 生 区 的 主机 属于 VLAN30。 给 每 个 VLAN 创建 
虚拟 接口 ,并 设置 虚拟 接口 的 IP 地 址 ,参考 实验 拓扑 图 。 


S3550 — 24(config)# vlan 10 

S3550 — 24(config - vlan)# name server ! 建 立 VLAN 10, 并 命名 为 server 
S3550 - 24(config— vlan)# exit 

S3550 - 24(config)# vlan 20 

S3550 — 24(config- vlan) # name teacher ! 建 立 VLAN 20, 并 命名 为 teacher 
S3550 — 24(config— vlan)# exit 

S3550 - 24(config)# vlan 30 


S3550 — 24(config— vlan) # name students ! 建 立 VLAN 20, 并 命名 为 students 
S3550 - 24(config- vlan)# exit 
S3550 一 24(config) # interface f0/5 ! 进 入 5 号 端口 的 配置 模式 


S3550 - 24(config— if)# switchport mode access 

S3550 - 24(config - 主 ) # switchport access vlan 10 ! 将 该 端口 划分 给 VLAN 10 
S3550- 24(config— if)# ex 让 

S3550 一 24(config) # interface f0/10 ! 进 入 10 号 端口 的 配置 模式 
S3550 - 24(config— if)# switchport mode access 

S3550 - 24(config - 证 ) # 井 switchport access vlan 20 ! 将 该 端口 划分 给 VLAN 20 
S3550 一 24(config- if)# exit 

S3550 一 24(config) # interface f0/15 ! 进 入 15 号 端口 的 配置 模式 
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S3550 - 24(config - if)# switchport mode access 

S3550 一 24(config- 证 ) 井 switchport access vlan 30 ! 将 该 端口 划分 给 VLAN 30 

S3550 - 24(config— if)# exit 

S3550 — 24(config)# interface vlan 10 

S3550— 24(config— 证 ) 井 ip add 192.168.10.1 255.255.255.0 

S3550 - 24(config - if)# no shutdown ! 配 置 虚拟 接口 VLAN 10 的 IP 地 址 
S3550 - 24(config— if)# exit 

S3550 — 24(config)# interface vlan 20 

S3550 — 24(config— if)# ip add 192.168.20.1 255.255.255.0 

S3550 - 24(config - 证 ) # no shutdown ! 配 置 虚拟 接口 VLAN 20 的 IP 地 址 
S3550— 24(config— if)# exit 

S3550 — 24(config)# interface vlan 30 

S3550 — 24(config- if)# ip add 192.168.30.1 255.255.255.0 

S3550 — 24(config - if)# no shutdown ! 配 置 虚 拟 接口 VLAN 30 的 IP 地 址 
S3550— 24(config - if)# exit 


3. 配置 访问 控制 列表 


S3550 — 24(config)# ip access - list extended denystudentwww 

! 定 义 扩展 的 访问 控制 列表 ,并 取 名 为 “denystudentwww” 

S3550 - 24(config ~ ext ~ nacl)# deny tcp 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 eq www 
! 禁 止 网 络 192.168. 30.0 访问 网 络 192. 168.10.0 的 WWW 服务 

S3550 — 24(config - ext - nacl)#permit ip any any ! 允 许 其 他 服务 


4. 把 定义 的 访问 控制 列表 应 用 到 虚拟 接口 vlan 30 


S3550 - 24(config) # interface vlan 30 
S3550 — 24(config - if)# ip access - group denystudentwww in 
! 当 有 数据 包 进 入 vlan30 时 ,应 用 访问 控制 列表 


【思考 题 】 


(1) 标准 访问 控制 列表 和 扩展 访问 控制 列表 有 什么 区 别 ? 
(2) 为 什么 在 deny 某 个 网 段 后 ,还 要 permit 其 他 网 段 ? 


A4 网 络 侦 听 及 协议 分 析 
【实验 目的 、 环 境 和 背景 知识 】 


1. 实验 目的 


了 解 网 络 侦 听 的 目的 .过程 以 及 基本 手段 。 对 协议 分 析 有 基本 了 解 。 学 会 使 用 
Ethereal 工具 ,为 进一步 学 习 基于 网 络 的 入 侵 检 测 系 统 打 下 基础 。 
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2. 实验 环境 


硬件 : 主流 配置 计算 机 , 接 和 人 Internet。 
软件 : 安装 Windows 2000/2003/XP 操作 系统 ,安装 Outlook 及 Ethereal。 


3. 背景 知识 


网 络 侦 听 也 称 为 网 络 嗅 探 ,是 一 项 很 重要 的 技术 ,提供 给 网 络 安全 管理 人 员 用 来 监视 网 
络 的 状态 .数据 流动 情况 以 及 网 络 上 传输 的 信息 等 。 同 时 它 也 是 基于 网 络 人 侵 检 测 的 基础 ， 
NIDS 的 数据 来 源 就 是 通过 网 络 侦 听 得 到 的 。 

当 信息 以 明文 的 形式 在 网 络 上 传输 时 ,使 用 侦 听 技术 并 不 是 一 件 难事 ,在 共享 型 局 域 网 
中 ,只 要 将 网 络 接口 设置 成 混杂 模式 , 便 可 以 源源 不 断 地 将 网 上 传输 的 信息 截获 。 网 络 侦 听 
可 以 在 网 上 的 任何 一 个 位 置 实施 ,如 局 域 网 中 的 一 台 主 机 、 网 关 或 远程 网 的 调制 解 调 器 之 
间 等 。 

Ethereal 是 一 个 在 网 络 上 侦 听 数据 包 , 并 且 进 行 分 析 的 工具 ,此 类 工具 被 称 为 嗅 探 器 
(sniffer) ,网 络 管理 员 使 用 它 来 协助 解决 网 络 问题 ,网 络 安全 工程 师 用 它 来 测试 安全 问题 ， 
开发 人 员 用 它 可 以 调试 协议 的 实现 过 程 , 还 可 以 深入 学 习 网 络 协议 。 

Ethereal 是 目前 最 好 的 开源 网 络 分 析 工 具 , 其 官方 网 站 为 http://www. ethereal. 
com/ ,原先 只 有 Linux 下 可 用 ,现在 已 有 Windows 可 用 版 本 。 

Ethereal 的 安装 过 程 比较 简单 ,过程 中 会 默认 安装 Winpcap ,按照 默认 设置 即 可 ,完毕 后 执 
行程 序 , 主 界面 如 图 A-29 所 示 。 此 时 还 没有 开始 捕获 数据 ,所 以 主 界面 中 无 任何 分 析 数 据 。 


何 The Ethereal Network Analyzer 
Ele Edt Wew Go Gapture Anayze Statistics Help 


团 沁 他 全 蚀 | 已 国 x 凶 昌国 4 外 名 于 旦 | 国 国 & 
Eker: 


¥ Expression... Clear Apply 








图 A-29 Ethereal 运行 主 界面 


单 击 Capture 菜单 下 的 Start 选项 , 即 可 开始 抓 取 数据 包 。 当 有 数据 流量 时 ,界面 相应 
的 协议 栏 中 会 显示 数据 包 的 个 数 和 所 占 百分比 ,如 图 A-30 所 示 。 
单 击 Stop 按钮 可 以 停止 抓 取 , 在 主 界面 会 显示 具体 捕获 的 数据 包 内 容 , 如 图 A-31 所 示 。 
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A-30 数据 捕获 窗口 
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[Time delta from previous packer: 0.000000000 seconds] 
[Time since reference or first frame: 0.000000000 seconds] 
Frame Number: 1 据 但 
Packer Lengtn: 79 bytes 数据 包 具 体 人 息 
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Version: 4 
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0 W760 00 400 
车 证 去 进 制 表示 的 详细 数据 内 容 











于 生生 让 生生 





图 A-31 数据 包 及 其 协议 分 析 结 果 


第 一 层 界面 中 显示 的 是 抓 取 到 的 所 有 数据 包 列表 ,从 纵向 看 分 为 5 栏 。 在 其 中 的 


Source 和 Destination 栏 ,可 以 看 到 通信 双方 的 地 址 , Protocol 栏 显示 出 使 用 的 协议 。 


栏 显示 数据 包 的 基本 信息 。 例 如 下 面 显示 的 是 登录 www. baidu. com 和 远程 地 址 进行 TCP 


三 次 握手 的 过 程 。 


192.168.1.100 220.181.6.6 TCP 2390 > http [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1460 
220.181.6.6 192.168.1.100 Tcp http > 2390 [SYN, ACK] Seq=0 Ack=1 Win=2920 Len=0 MsS=1440 
192.168.1.100 220.181.6.6 TCP 2390 > http [ACK] Seq=1 Ack=1 Win=65535 Len=0 


任意 选择 一 个 数据 包 , 可 以 得 到 详细 信息 数据 包头 部 分 析 。 读 者 可 以 结合 在 计算 机 网 


络 中 学 习 到 的 有 关 TCP/IP 数据 包头 的 知识 解读 


ga 


滤 栏 里 填 人 关键 词 , 则 可 以 非常 方便 地 进行 过 


另外 ,Ethereal 上 ee 


口 镜像 才能 捕获 全 部 信息 ,否则 只 能 捕获 本 地 计算 机 的 网 络 信 息 。 
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【实验 步骤 】 


1. Ping 数据 包 分 析 


Ping 程序 使 用 的 是 ICMP 报 文 格式 ,打开 Ethereal 的 捕获 按钮 ,然后 在 计算 机 的 运行 
框 中 输入 “ping 192. 168. 1. 1”(IP 地 址 根据 网 络 环境 不 同 而 自行 确定 ) ,如 图 A-32 所 示 。 


-上 口 x| 
[Microsoft Windous xP 5.1.2688] -~ 
kc》 版 权 所 有 1985-28@1 Microsoft Corp- 


和 :Documents and Settings ?ping 192.168.1.1 
Pinging 192.168.1.1 with 32 bytes of data: 


bytes=32 tineCins TIL=64 
bytes-32 tinecins TIL-64 
bytes=32 tineCins TIL=64 

tineCins TIL=64 


: Sent = 4, Received = 4。 Lost = 日 《Bx loss), 
© round trip tines in nilli-seconds: 
Minimun = Gns, Maxinun = Gns, Average = Ons 





:\Docunents and Settings 


图 A-32 发 送 ping 包 


回 到 主 界面 观察 获取 的 数据 包 信 息 , 如 图 A-33 所 示 。 








Bie Edt Yom Go Cophure bnahze Baitks belb 
车 岂 加 丢人 冲 | 广 园 x 名 马 国 4 站 中 上 月 民 QAaD 阐 四国 六 | 名 


Eher ” Epresson.. Slew apply 








No Tme- 
















人 《pfnQ) reg 
2 0.000539 {ping) reply 
3 0.999472 TCMP Echo (ping) request 
4 1 000031 16 TCMP Echo ping) reply 
5 2.000912 168.1.100 TCMP 。 Echo (ping) request 
5 2.001460 2.168.1.1 ICMP Echo (ping) reply 
7 3.002354 192,168,1.100 TCMP Echo (ping) request 
8 3.002901 192.1681-1 TCMP Echo (ping) reply 





TS Frame IT C7 bytes on wire, 74 
中 Ethernet 11, Src: Benq, : 





21:a8 (00:1d:0f:77:21:38) 





Source: 192 
Destination: 








D000 
Dol0 
0020 
0030 
0040 








Per Porto) mre [Pr GD OM Dorops:d 





图 A-33 ”对 数据 包 进 行 协议 分 析 


可 以 看 到 发 送 了 4 个 请 求 ,对 应 了 4 个 回应 ,任意 选择 一 个 数据 包 : 
里 面 有 三 段 有 效 内 容 , 即 Ethernet 帧 首部 分 析 、IP 包 首部 分 析 和 ICMP 首部 分 析 。 例 
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如 ,ICMP 首部 内 容 如 图 A-34 所 示 。 5 Internet control Message Prorocol 


Type: 8 (Echo Cping) request) 


其 中 ,“Type:8 Code:0” 表 明 ICMP 报 文 类 型 ,根据 协 ey 
议 规定 ,类 型 8 代码 0 即 为 Ping 的 Echo Request 报 文 。 和 ae Goro0 
Checksum 为 校 验 和 ,Identifier 可 理解 为 一 个 Ping 包 的 ID 
号 。Sequence 为 序列 号 段 。Data 为 Ping 中 所 发 数据 内 容 。 A-34 ICMP 首部 信息 


在 Windows 中 ,默认 的 填充 内 容 如 图 A-35 中 被 选中 的 内 容 





Ido 77 ZITag00 03 
00 3c da 3F 00 00 80 01 
多 0 5 bo 44 5C 02 00 





7 61 62 63 64 65 66 人 


A-35 Ping 包 中 的 填充 内 容 


需要 注意 的 是 , Windows 和 Linux 操作 系统 所 发 出 的 Ping 包 中 的 Identifier 值 和 填充 
值 有 所 不 同 ,Windows 的 Identifier 值 一 般 为 0x0200, 而 Linux 的 Identifier 和 填充 内 容 没 
有 固定 规律 。 由 此 可 以 初步 判断 远程 机 器 的 操作 系统 类 型 。 


2. 邮件 密码 嗅 探 


下 面 用 Ethereal 截获 用 户 的 邮箱 密码 。 邮 件 接收 过 程 采用 Outlook Express。 打 开 
Ethereal 和 Outlook Express, 输 入 邮箱 用 户 名 和 密码 , 单 击 “确定 ”按钮 准备 接收 邮件 。 观 
察 Ethereal 捕获 到 的 结果 ,获取 到 的 数据 包 比 较 多 ,包括 了 大 量 TCP 包 , 采 用 过 滤 的 方法 只 
留 下 POP 协议 类 数据 包 , 如 图 A-36 所 示 。 


[TUFTTIE9) ETFETEET 二 可 勾 
Ele Edt Yew Go Copture Anayze Sotstes Help 


如 所 他 创制 户 回 x 名品 国生 中 中 于 呈 


























OK 
quest : PASS justatest 
Response: toK Xiongpin301921cn,con has 1 messages (15378 octets) 
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3 3 0 各 
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192.168.1.100 
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,42 
















Frame 12 Co1 bytes on wire, S91 bytes 一 一 一 自 

B Ethernet I1, Src: 192.168.1,1 (00:1d:0f:77:21: 3 Dst: 192.168.1.100 (00:03:9d:73:61:63) | 
Destination: 192.168.1.100 C00: 6 
Source: 192.168.1.1 《00 
Type: IP 《0x08007 

S Interner Protoco1，Src: 59.36.202.42 (59.36.102.42), Dst: 192.168.1.100 (192.168.1.100) - 
Version: 4 





Header lengtn: 20 byres 
a Differentiated Services Field: Ox00 (DscP Ox00: Default; ECN: Ox00) 

Total Length: 77 

Identification: OxlSbc (5564) 
a Flags: Ox04 CDon't Fragment) 

Fragment offset: 0 站 | 


T0000 0 O19 OF 7 IT a 0 00 4 00 
0010 00 4d 15 bc 40 00 36 06 ck 94 3b 24 66 2a cO a8 
0020 ol 64 00 6e oa 87 1f 30 ac a8 cd 6c 12 51 50 18 QP- 
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图 A-36 ”截获 信息 
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在 截获 的 所 有 数据 包 当 中 ,发 现 了 感 兴趣 的 内 容 如 下 : 


POP Request : USER xiongping01 
POP Response: +OK 
PoP Request: PASS justatest 

POP Response: +OK xiongping01@21cn.com has 1 messages (15378 octets) 


第 一 个 数据 包 的 具体 信息 如 下 : 
日 Post office protocol] 
日 +0K Hermes POP service () is ready.NrNn 


Response: +OK 
Response Arg: Hermes POP service () is ready. 


表示 服务 器 已 经 连接 成 功 ,准备 接受 用 户 名 和 密码 了 。 
接着 的 两 个 数据 包 就 是 输入 的 用 户 名 和 密码 : 


EB Post office Protocol] 日 Post ottice Protocol 


日 USER xiongpingolNrNn 四 PASS justatest\r\n 
Request : USER Request: PASS 
Request Arg: xiongping01 Request Arg: justatest 


可 以 看 到 ,以 明文 形式 传送 的 信息 是 不 安全 的 。 一 些 敏感 信息 应 该 经 过 加 密 后 传送 。 
【思考 题 】 


(1) 和 POP 协议 类 似 ,Telnet 协议 .FTP 协议 中 对 用 户 名 和 密码 等 信息 也 没有 加 密 , 请 
读者 参照 POP 协议 的 分 析 方 式 , 对 Telnet,FTP 中 的 密码 进行 嗅 探 和 分 析 。 

(2) 观察 Ethereal 在 什么 样 的 网 络 环境 下 可 以 捕获 整个 网 络 中 传输 的 内 容 , 什 么 样 的 
网 络 环境 下 捕获 不 到 ,或 者 只 能 捕获 本 机 传输 的 内 容 。 

(3) Ethereal 的 功能 非常 多 ,本 实验 中 只 使 用 了 其 基本 功能 ,关于 其 高 级 功能 可 以 通过 
阅读 用 户 手册 了 解 。 


A5 VRRP 协 议 及 其 配置 
【实验 目的 、 环 境 和 背景 知识 


1. 实验 目的 


可 靠 性 是 信息 网 络 安全 需求 的 一 个 重要 指标 。 可 靠 性 高 就 意味 着 信息 网 络 在 某 些 设备 
发 生 故 障 时 ,整个 网 络 仍然 能 够 保证 基本 服务 不 中 断 , 网 络 性 能 不 会 有 很 大 影响 。 

宛 余 , 是 提高 系统 可 靠 性 的 常用 手段 。 在 主 设备 运行 时 .还 有 一 台 以 上 的 备份 设备 随时 
准备 在 主 设备 发 生 故 障 时 接替 工作 ,从 而 保证 网 络 服务 的 连续 性 。 

虚拟 路 由 器 宛 余 协议 (VRRP) 是 运行 在 若干 路 由 器 上 的 协议 。 这 些 路 由 器 在 运行 了 
VRRP 协议 后 , 则 可 以 实现 元 余 备 份 和 负载 均衡 等 功能 。 

通过 本 实验 ,使 学 生 了 解 信息 网 络 的 可 靠 性 安全 需求 。 学 习 VRRP 协议 的 基本 原理 ， 
熟练 掌握 VRRP 协议 的 元 余 备 份 和 负载 均衡 配置 方法 。 
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2. 实验 环境 
计算 机 若干 台 ; 二 层 交 换 机 两 台 ; 路 由 器 (至 少 两 个 以 太 网 口 ) 两 台 。 
3. 背景 知识 


1) VRRP 基本 原理 
VRRP 协议 的 基本 原理 如 图 A-37 所 示 。 











备份 路 由 器 
A-37 VRRP 协议 基本 原理 


在 图 A-37 中 ,有 两 个 路 由 器 提供 内 部 网 络 与 Internet 的 互联 和 路 由 数据 包 功 能 。 这 两 
个 运行 了 VRRP 协议 的 路 由 器 就 称 为 VRRP 路 由 器 , 且 构 成 一 个 VRRP 组 .路 由 器 之 间 
通过 VRRP 协议 的 协商 ,产生 一 个 主 路 由 器 ,来 承担 路 由 功能 ,其 他 路 由 器 则 成 为 备份 路 由 
器 。 当 主 路 由 器 发 生 故 障 时 ,由 备份 路 由 器 来 接替 主 路 由 器 的 功能 ( 当 有 多 个 备份 路 由 器 时 ， 
从 中 选举 产生 一 个 新 的 主 路 由 器 )。 然 而 ,对 于 内 部 网 络 的 一 台 主 机 来 说 , 它 只 有 一 个 网 关 , 即 
只 能 “和 看见” 一 台 路 由 器 ,这 就 是 由 VRRP 组 虚拟 出 来 的 所 谓 “ 虚 拟 路 由 器 ”, 它 是 抽象 出 来 的 一 
台 逻 辑 路 由 器 。 虚 拟 路 申 器 的 内 部 接口 也 有 IP 地 址 ,这 个 地 址 就 是 内 部 主机 的 默认 网 关 。 

在 一 个 VRRP 组 中 ,优先 级 最 高 的 那个 路 由 器 成 为 主 路 由 器 ,其 他 路 由 器 成 为 备份 路 
由 器 。 优 先 级 由 一 个 0 一 255 的 数字 表示 。 当 一 个 路 由 器 的 接口 地 址 和 虚拟 路 由 器 的 地 址 
相同 时 ,该 路 由 器 的 这 个 接口 就 成 为 了 该 VRRP 组 的 “IP 地 址 所 有 者 ”,IP 地 址 所 有 者 自动 
具有 最 高 优先 级 255, 它 将 成 为 VRRP 组 中 的 主 路 由 
器 。 因 此 , 当 手 工 配置 的 优先 级 时 ,可 配置 的 优先 级 范 
围 为 1~254。 对 于 相同 优先 级 的 候选 路 由 器 ,按照 IP 
地 址 大 小 顺序 来 选举 。 

注意 : 可 以 创建 多 个 VRRP 组 。 一 台 路 由 器 可 以 
同时 属于 多 个 VRRP 组 。 

2) VRRP 基本 应 用 : 路 由 元 余 

如 图 A-38 所 示 ,可 以 通过 在 路 由 器 Rl1 和 R2 上 配 
置 VRRP 协议 ,实现 路 由 元 余 。 图 A-38 路 由 克 余 

R1 的 配置 命令 如 下 : 























R1(config) # interface fastethernet 0 // 进 入 端口 f0 的 配置 模式 
R1(config- if)#ip address 192.168.10.1 255.255.255.0 // 为 该 端口 设置 IP 地址 
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R1(config- if)#vrrp 1 ip 192.168.10.1 
// 创 建 VRRP 组 1, 其 虚拟 路 由 器 的 亿 地 址 为 192.168.10.1, 并 将 此 端口 分 配给 VRRP 组 1 
R1(config — if)#no shutdown // 开 启 此 端口 
R2 的 配置 命令 如 下 : 
R2(config) # interface fastethernet 0 // 进 入 端口 f0 的 配置 模式 
R2(config 一 if) 间 ipaddress 192.168.10.2 255.255.255.0 // 为 该 端口 设置 IP 地 址 
R2(config— if)#vrrp 1 ip 192.168.10.1 
// 创 建 VRRP 组 1, 其 虚拟 路 由 器 的 下 地 址 为 192.168.10.1, 并 将 此 端口 分 配给 VRRP 组 1 
R2(config— if)#no shutdown // 开 启 此 端口 


通过 以 上 配置 ,创建 了 一 个 VRRP 组 , 且 Rl 的 fo 口 和 R2 的 fo 口 都 属于 此 VRRP 组 。 
由 于 Rl 的 f0 口 的 IP 地 址 和 虚拟 路 由 器 的 IP 地 址 相同 ,因此 R1 成 为 IP 地 址 所 有 者 , 即 主 
路 由 器 ,承担 路 由 功能 ,而 R2 成 为 备份 路 由 器 。 

最 后 ,将 内 部 网 络 中 所 有 计算 机 的 默认 网 关 设 置 为 192. 168. 10. 1 。 

3) VRRP 高 级 应 用 : 负载 均衡 

在 实现 路 由 宛 余 的 基础 上 ,还 可 以 充分 利用 每 个 路 由 器 ,以 实现 负载 均衡 ,如 图 A-39 
所 示 。 



































一 上 一 ! 
网 关 192.168.10.1 网 关 192.168.10.2 
图 A-39 负载 均衡 


R1 的 配置 命令 如 下 : 


R1(config) # interface fastethernet 0 

Rl1(config - if)# ip address 192.168.10.1 255.255.255.0 
Rl(config- if)#vrrp 1 ip 192.168.10.1 

Ri(config— if)#vrrp 2 ip 192.168.10.2 

R1(config— if)#no shutdown 


R2 的 配置 命令 如 下 : 


R2(config) # interface fastethernet 0 

R2(config— if)# ip address 192.168.10.2 255.255.255.0 

R2(config— if)#vrrp 1 ip 192.168.10.1 

R2(config- if)#vrrp 2 ip 192.168.10.2 

R2(config— if)#no shutdown 

通过 以 上 配置 ,创建 了 两 个 VRRP 组 (VRRP1 和 VRRP2),R1 的 f0 口 和 R2 的 f0 口 都 
同时 属于 这 两 个 VRRP 组 。 

VRRP1 的 虚拟 IP 地 址 为 192. 168. 10.1, 与 R1 的 f0 口 IP 地址 相同 ,所 以 Rl 成 为 
VRRP1 的 主 路 由 器 ,R2 成 为 VRRP1 的 备份 路 由 器 。 
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VRRP2 的 虚拟 IP 地 址 为 192. 168. 10. 2, 与 R2 的 f0 口 IP 地址 相同 ,所 以 R2 成 为 
VRRP?2 的 主 路 由 器 ,Rl 成 为 VRRP2 的 备份 路 由 器 。 

最 后 ,将 内 部 网 络 中 一 部 分 计算 机 的 默认 网 关 设 置 为 192. 168. 10. 1, 它 们 将 通过 
VRRP1 的 主 路 由 器 Rl 访问 外 网 ; 将 其 他 计算 机 的 默认 网 关 设置 为 192. 168. 10.2, 它 们 通 
过 VRRP2 的 主 路 由 器 R2 访问 外 网 。 

所 以 ,这 样 的 配置 既 实现 了 R1 和 R2 相互 备份 .同时 又 实现 了 负载 均衡 。 


【实验 步骤 】 


1. 了 解 实验 要 求 
本 实验 的 网 络 拓扑 结构 如 图 A-40 所 示 。 
f0: 192.168.10.1 f0: 192.168.20.2 










192.168.10.4 192.168.20.6 


























192.168.10.5 192.168.20.8 








f0: 192.168.10.2 R2 f0: 192.168.20.1 














A-40 ”实验 拓扑 


要 求 路 由 器 R1 和 R2 相互 备份 , 且 从 网 络 192. 168. 10. 0 发 往 192. 168. 20. 0 的 流量 
通过 路 由 器 R1 转发 ,从 网 络 192. 168. 20. 0 发 往 192. 168. 10. 0 的 流量 通过 路 由 器 R2 
转发 。 


2. 配置 VRRP 协议 
路 由 器 R1 的 配置 如 下 : 


R1(config) # interface fastethernet 0 

Rl(config- if)# ip address 192.168.10.1 255.255.255.0 
Rl(config— if)#vrrp 1 ip 192.168.10.1 

Rl(config— if)#no shutdown 

Ri(config— if)#exit 

Rl(config) # interface fastethernet 1 

Rl(config- if)# ipaddress 192.168.20.2 255.255.255.0 
Ri(config— if)#vrrp 2 ip 192.168.20.1 

Rl(config - if)#no shutdown 


路 由 器 R2 的 配置 如 下 : 


R2(config) # interface fastethernet 0 

R2(config- if)# ip address 192.168.10.2 255.255.255.0 
R2(config— if)#vrrp 1 ip 192.168.10.1 

R2(config— if)#no shutdown 
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R2(config— if)#exit 

R2(config) # interface fastethernet 1 

R2(config- if)# ip address 192.168.20.1 255.255.255.0 
R2(config— if)#vrrp 2 ip 192.168.20.1 

R2(config— if)#no shutdown 


3. 测试 


在 路 由 器 的 特权 模式 下 ,用 命令 Router 井 show vrrp 1 和 Router# show vrrp 2 查看 
VRRP 组 的 信息 ,查看 在 VRRP 组 中 哪个 路 由 器 是 主 路 由 器 ,哪个 是 备份 路 由 器 。 

为 计算 机 配置 IP 地 址 后 ,关闭 防火 墙 软件 ,测试 各 计算 机 之 间 是 否 能 ping 通 。 

在 计算 机 192. 168. 10.4 上 打开 命令 窗口 ,用 命令 tracert 192. 168. 20. 6 跟踪 到 达 计 算 
机 192. 168. 20.6 的 路 径 , 得 到 的 结果 应 该 是 : 经 由 192. 168. 10. 1 到 达 192. 168. 20. 6。 

在 计算 机 192. 168. 20.6 上 打开 命令 窗口 ,用 命令 tracert 192. 168. 10.4 来 跟踪 到 达 计 
算 机 192. 168. 10. 4 的 路 径 , 得 到 的 结果 应 该 是 : 经 由 192. 168. 20. 1 到 达 192. 168. 10. 4。 

现在 ,将 连接 交换 机 S1 和 路 由 器 R1 的 数据 线 拔 掉 ,再 来 完成 上 述 测试 。 首 先 ,各 计算 
机 之 间 应 该 仍然 能 Ping 通 。 其 次 ,在 计算 机 192. 168. 10.4 上 运行 tracert 192. 168. 20. 6 命 
令 , 得 到 的 结果 应 该 是 : 经 由 192. 168. 10. 2 到 达 192. 168. 20. 6。 


【思考 题 】 


(1) 简要 总 结 一 下 VRRP 协议 的 基本 原理 。 
(2) 请 阐述 一 下 VRRP 协议 中 主 路 由 器 的 选举 机 制 。 


A6 WebGoat 网 络 攻击 实验 
【实验 目的 .环境 和 背景 知识 】 了 


1. 实验 目的 


通过 一 系列 网 络 攻击 实验 ,使 学 生 对 常用 的 网 络 攻击 方法 有 较 深 入 的 了 解 ,帮助 学 生理 
解 网 站 结构 和 网 页 设计 中 的 常见 漏洞 ,从 而 在 实际 系统 的 开发 中 避免 这 些 漏洞 的 产生 ,提高 
信息 系统 的 安全 性 。 


2. 实验 环境 


硬件 : 主流 配置 的 计算 机 。 
软件 : 安装 Windows XP Service Pack 2 以 上 版 本 操作 系统 ,搭建 WebGoat 实验 平台 ， 
安装 相应 的 实验 软件 。 


3. 背景 知识 
WebGoat 是 由 著名 的 开放 式 Web 应 用 程序 安全 项 目 组 (OWASP) 开 发 的 一 个 的 J2EE 
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Web 应 用 程序 ,其 中 包含 了 许多 故意 设计 的 漏洞 。 它 由 18 个 实验 项 目 构成 ,分 别 对 应 于 18 
种 常见 的 网 络 攻击 方式 ,包括 HTTP 拆 分 \ 访 问 控制 缺陷 、AJAX 安全 、 认 证 缺陷 、 缓 冲 区 溢 
出 代码 质量 、 并 发 攻击 、 跨 站 脚本 攻击 拒绝 服务 攻击 、 错 误 处 理 不 当 、 注 入 漏洞 通信 安全 、 
不 安全 配置 .不 安全 的 存储 、 参 数 算 改 、 会 话 管理 漏洞 、Web 服务 、 管 理 职 能 等 。 

WebGoat 是 一 个 平台 无 关 的 Web 安全 漏洞 实验 环境 ,该 环境 需要 Apache Tomcat 和 
Java 开发 环境 的 支持 。WebGoat 环境 的 搭建 非常 简单 ,读者 可 从 出 版 社 网 站 上 下 载 压缩 文 
件 WebGoat-5. 2. rar, 然 后 解压 到 C 盘 根 目 录 即 可 。 

WebGoat 平台 模拟 的 是 一 个 网 络 攻击 过 程 ,用 户 用 一 个 Web 浏览 器 去 访问 一 个 Web 
站 点 ,并 对 其 进行 攻击 。 为 了 方便 实验 ,这 个 站 点 实际 上 就 建立 在 用 户 所 在 的 机 器 上 
(Apache Tomcat) 。 在 进行 实验 时 ,请 使 用 安装 包 中 自 带 的 Firefox 浏览 器 ,因为 它 已 经 
配置 好 了 。 当 然 也 可 以 自行 选择 浏览 器 ,但 必须 进行 相应 的 代理 设置 。 

可 以 打开 WebGoat-5. 2 文件 夹 中 的 HOW TO create the WebGoat workspace. txt 文 
件 , 了 解 关 于 WebGoat 实验 平台 的 相关 说 明 。 


【实验 步骤 】 


1. 启动 WebGoat 实验 服务 器 


进入 C 盘 根 目录 下 的 WebGoat-5. 2 文件 夹 ， 双击 eclipse. bat 文件 , 进入 Java EE- 
Eclipse Platform 管理 界面 ,如 图 A-41 所 示 。 


E Java EE - Eclipse Platform 
了 ile Edit Rayigate Segrch Project Bun Yindon Help 


日 "加 巴林 "DO -9 B+. :BO FO 加 | 鸭 Jars 2 | 





Project Explorer 32 OEouine 3 和 9 
各 outline is not sailable 





田 窗 Servers 
由 谷 servers2 
国 衣 vebcowt 





| 区 Brov | 国 Task | 口 Pro | 这 Serv | 腾 Dats | 马 snip 
Bo consoles to display wt this tine. 














图 A-41 Java EE-Eclipse Platform 管理 界面 


在 窗口 左 侧 的 窗口 中 右键 单 击 Server2, 在 弹出 的 快捷 菜单 中 选择 Refresh, 如 图 A-42 
所 示 。 
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A-42 刷新 Server2 服务 器 


同样 ,在 窗口 左 侧 的 窗口 中 右键 单 击 WebGoat, 在 弹出 的 快捷 菜单 中 选择 Refresh 。 
在 右 下 部 的 窗口 中 选择 Servers 标签 ,右键 单 击 WebGoat Tomcat v5. 5 Server at 
localhost, 然 后 选择 Start, 即 可 启动 服务 器 ,如 图 A-43 所 示 。 


Eclipse Platform 
Hile Edit avigate Sesreh Project Bun Eindor Help 
品 " 回 也 1 砂 "-O-Q9- 
Project Explorer D3 ttShiEtt 
| culte 
| 证 Save nt 
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本 Paulish CtrlAltdP 
Qean 








he brojeets 
臣 Protlm | 办 Tasks SProrer: ed Monitoring 


Clean Toncat Work Directory. 





rwer 人 Properties 各 t+Entar 








图 A-43 ”启动 Tomcat 服务 器 
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注意 ,如 果 在 启动 服务 器 时 报错 ,告知 某 个 端口 已 被 占用 而 无 法 启动 ,可 通过 “控制 面 
板 ” 一 “管理 工具 ”一 “服务 ”来 关闭 IIS 服务 。 





2. 启动 浏览 器 代理 软件 


为 了 了 解 并 实施 攻击 的 每 个 步 又, 用户 需要 一 个 代理 软件 , Web 浏览 器 所 发 出 的 请 求 、 
提交 等 指令 以 及 服务 器 的 响应 ,都 将 由 代理 软件 来 处 理 , 用 户 可 以 在 代理 软件 中 看 到 每 个 细 
节 , 也 可 以 人 工 告 诉 代 理 软件 如 何 来 处 理 每 个 步骤 。WebGoat 采用 的 代理 软件 是 
WebScarab。 双 击 C:\WebGoat-5. 2 中 的 webscarab-selfcontained-20070504-1631. jar 文 
件 , 即 可 打开 WebScarab 的 操作 界面 ,如 图 A-44 所 示 。 

图 Yebscarab Lite 


Eile View Iools Help 
Summary | Intercept 
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Un Methods Status | SetCookie | Comments | ”Scripts 









































A-44 ”WebScarab 的 操作 界面 


在 实验 过 程 中 , 当 需 要 了 解 和 控制 浏览 器 与 服务 器 之 间 的 每 个 交互 动作 时 ,可 以 勾 选 
Intercept 标签 下 的 Intercept requests 和 Intercept responses 单 选 框 , 如 图 A-45 所 示 。 

这 样 ,在 浏览 器 和 服务 器 交互 时 , WebScarab 会 以 step by step 的 方式 与 用 户 交 互 进 
行 ,例如 ,浏览 器 发 起 某 个 请 求 时 ,用 户 可 以 看 到 关于 此 请 求 的 详细 信息 ,之 后 , 单 击 Accept 
changes, 交 互 过 程 才 会 继续 ,如 图 A-46 所 示 。 


3. 进入 实验 平台 


在 C:\WebGoat-5. 2 中 进入 FirefoxPortable 文件 夹 ,双击 FirefoxPortable. exe, 启 动 
Firefox 浏览 器 ,这 时 会 弹出 认证 窗口 ,如 图 A-47 所 示 。 
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图 A-45 设置 WebScarab 的 工作 方式 


图 Edit Request 








Intercept requests : Intercept responses: 
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A-46 WebScarab 显示 浏览 器 请 求 信息 
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Authentication Required 


【?] A username and password are being requested by http://localhost. The site says 


"WebGoat Application” 





User Hame: 








Password: 











A-47 用 户 认证 界面 


username 和 password 均 为 guest, 单 击 OK , 即 可 进入 WebGoat 实验 平台 入 口 界 面 ,如 
图 A-48 所 示 。 
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Thank you for using WebGoatl This program is a demonstration of common web application flaws. The 
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图 A-48 WebGoat 实验 平台 入 口 界面 


单 击 Start WebGoat 即 可 进入 实验 主 界面 ,如 图 A-49 所 示 。 

在 WebGoat 实验 平台 主 界面 的 左 侧 , 列 出 了 所 有 的 实验 项 目 ,第 一 个 项 目 为 
Introduction。 学 生 可 自行 选择 相应 的 实验 项 目 , 并 根据 实验 项 目的 要 求实 施 相应 的 网 络 攻 
击 。 在 实验 过 程 中 ,可 以 通过 主 界面 上 部 的 Hints、Show Params、Show Cookies、 Lesson 
Plan、Show Java 和 Solution 等 获取 相应 的 帮助 信息 。 
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) How to work with WebGoat — Wozilla Firefor 4.0 Beta 12 
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ECT 


Solution YideosHow To Work With WebGoat Restart this Lesson 


Welcome to a short introduction to WebGoat. 
Here you will learn how to use WebGoat and additional tools for the lessons, 


Ervironment Information 


WebGoat uses the Apache Tomcat server It is configured to run on localhost although this can 
be easily changed, This configuration is for single user, additional users can be added in the 
tomcat-users,xml file. If you want to use WebGoat in a laboratory or in class you might need 
to change this setup. Please refer to the Tomceat Configuration in the Introduction section, 


The WebGoat Interface 
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图 A-49 WebGoat 实验 平台 主 界面 


【思考 题 】 


(1) 在 实验 过 程 中 为 什么 需要 用 到 浏览 器 代理 软件 ? 
(2) 请 总 结 每 个 实验 项 目的 技术 原理 。 


A7 入 侵 检测 系统 Shot 的 使 用 
【实验 目的 、 环 境 和 背景 知识 】 了 


实验 目的 


通过 实验 更 加 透彻 地 了 解 和 人 侵 检 测 系统 的 概念 .体系 结构 和 检测 技术 。 学 会 使 用 开源 
入侵 检测 软件 Snort。 


2. 实验 环境 


硬件 : 主流 配置 计算 机 , 连 入 局 域 网 。 
软件 : 安装 Windows 2000/2003/XP 操作 系统 , Winpcap、Snort for Windows 2. 8.1 及 
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相关 规则 库 。 
3. 背景 知识 


Snort 是 一 个 多 平台 的 强大 的 网 络 入 侵 检 测 系统 ,可 以 完成 数据 包 嗅 探 、 数 据 包 记录 、 
入 侵 检测 、 实 时 发 送 报警 信息 的 功能 ,能 运行 在 不 同 的 操作 系统 上 。 目 前 ,Snort 是 最 流行 
的 免费 NIDS, 其 官方 网 站 为 http://www. snort. org。 在 官方 网 站 上 可 以 下 载 到 Snort 的 
Windows 版 本 和 Linux 版 本 的 安装 文件 和 最 新 规则 库 。 

Snort 由 以 下 几 个 部 分 组 成 : 数据 包 嗅 探 器 、 预 处 理 器 ,检测 引 擎 ,报警 输出 模块 。 其 中 
预 处 理 器 和 报警 输出 模块 为 插件 ,在 Snort 下 载 的 版 本 中 不 包含 ,需要 自行 安装 。 本 实验 中 
不 涉及 插件 部 分 。Snort 的 安装 包 可 在 www. snort. org 下 载 。 


【实验 步骤 】 


本 实验 采用 的 实验 平台 为 Windows, 相 对 于 Linux,Windows 平台 的 安装 更 加 容易 些 ， 
配置 也 相应 简单 。 

1. 安装 Winpcap 和 Snort 

Windows 操作 系统 下 的 Snort 需要 使 用 Winpcap 从 网 卡 捕获 数据 包 , 因 此 需要 先 安装 
Winpcap。 在 安装 Snort 时 ,会 遇 到 确认 已 经 在 机 器 上 安装 了 Winpcap 的 提示 。 

2. 测试 

安装 结束 之 后 ,要 先 测试 一 下 是 否 安装 成 功 。 需 要 注意 的 是 ,Snort 的 使 用 是 命令 行 模 

式 , 如 果 运 行 窗口 不 在 Snort. exe 的 当前 目录 下 需要 设置 环境 变量 ,让 它 指向 Snort。 

测试 是 否 安装 成 功 ,可 以 在 命令 行 模式 下 输入 Snort。 

按 Enter 键 后 如 果 看 到 如 图 A-50 的 显示 就 表示 安装 成 功 。 


:\Snort \hinyenort 


—") Snortt 《so 


o” 2” Vorsion 2.8.1-0DBC -HySQL PloxAESP-YIN32 <Build 28> 


By Martin Rooach 8 The Snort Tean; http://wwe.snort.org/tean.html 
《C》 Copyright 1998-2888 Sourcefire Inc-- et al- 
Usading PCRE wersien: 7-4 2B97-99 一 21 





图 A-50 测试 运行 


Snort 的 命令 行 的 通用 形式 为 : 


snort — [options] 


3. 嗅 探 器 模式 运行 


Snort 使 用 有 多 种 模式 ,最 基本 的 模式 是 嗅 探 器 模式 ,在 命令 行 
Snort -v 可 以 显示 TCP/IP 等 的 网 络 数据 包头 信息 在 屏幕 上 
Snort -vd 可 以 显示 较 详细 的 包括 应 用 层 的 数据 传输 信息 。 
Snort -vde 可 以 显示 更 详细 的 包括 数据 链 路 层 的 数据 信息 。 


了 中 输入 : 
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这 里 输入 二 .Snort 开始 工作 .在 屏幕 上 可 以 看 到 抓 取 的 大 量 数据 包 。 
按 Ctrl 十 V 键 停 止 ,并 可 显示 检测 的 统计 结果 ,如 图 A-51 所 示 。 





8 DF 
gxFEE3 TcpLen 


6E368 Win: BxFFFF Tecplen: 
ting 





图 A-51 Snort -v 运行 结束 后 的 结果 


4. 分 组 日 志 模 式 


上 面 介绍 的 嗅 探 器 模式 的 几 个 命令 都 只 把 信息 显示 在 屏幕 上 ,如 果 要 把 这 些 数据 信息 
记录 到 硬盘 上 并 指定 到 一 个 目录 中 , 那 就 需要 使 用 日 志 模式 。 

Snort 使 用 -1 参数 ,就 能 告诉 它 将 包 记 录 到 选 定 的 目录 中 。 

命令 : Snort -v -1 . /log 

说 明 : 把 Snort 获取 的 报头 信息 存 和 人 当前 文件 夹 的 log 目录 中 ,可 以 根据 自己 的 需要 的 
位 置 而 更 换 。 

命令 : Snort -vde -1 . /log -h 192. 168. 1. 0/24 

说 明 : 记录 192. 168. 1.0/24 这 个 C 类 网 络 的 所 有 进 站 数据 包 信息 到 log 目录 中 去 ,其 
log 目录 中 的 目录 名 按 计算 机 的 IP 地 址 为 名 以 便 相 互 区 别 。 

命令 : Snort -1 . /log -b 

说 明 : 记录 Snort 抓 到 的 数据 包 并 以 TCPDUMP 二 进 制 的 格式 存放 到 log 目录 中 去 ， 
而 Snort 一 般 默认 的 日 志 形式 是 ASCII 文本 格式 。ASCII 文本 格式 便于 阅读 ,二 进 制 的 格 
式 转 化 为 ASCII 文本 格式 无 疑 会 加 重工 作 量 ,所 以 在 高 速 的 网 络 中 ,由 于 数据 流量 太 大 ,应 
该 采用 二 进 制 的 格式 。 








5. 网 络 入 侵 检 测 模式 (network-based intrusion detection system,NIDS) 


网 络 和 人 侵 检测 模式 是 用 户 最 常用 到 的 模式 。 这 种 模式 混合 了 嗅 探 器 模式 和 分 组 日 志 模 
式 , 并 且 需 要 载 人 规则 库 才 能 工作 。 


322 信息 安全 原理 及 应 用 (第 3 版 ) 





首先 配置 snort. conf 文件 。 打 开 C:\Snort\etc\snort. conf 文件 ,找到 这 样 几 行 ,编辑 如 下 : 


var RULE PATH c:\snort\rules  // 给 出 rules 的 位 置 

var HOME NET any //any 改 成 本 机 器 IP 192. 168. 1.16/24 

var HTTP_PORTS 80 // 根 据 自身 设置 修改 

然后 找到 rule 数据 包 , 解 压 后 复制 到 C:\snort\rules 文件 夹 中 ,这 个 文件 夹 在 刚 安装 
Snort 后 是 空 的 ,需要 专门 下 载 rule 数据 包 。 

输入 : snort -c "c:NsnortNetcNsnort. conf" -1 "c:Nsnort\log" -d -e -X 


即 可 根据 配置 运行 Snort 入 侵 检 测 系 统 , 如 图 A-52 所 示 。 








nortNetcNsnort-conf -1 c:\snort\log -d -e -—% 
IRunning in IDS mode 


== Initializing Snort =- 一 


lizing Plug-inst 
Parsing Rules file c:\snort\etc\snort.conf 
PortUar ’HITP_PORIS’ defined : [ 8@ ] 
PortUar ’SHELLCODE_PORTS’ defined : [ 8:79 81:65535 ] 
PortUar ’ORACLE_PORIS’ defined : [ 1521 ] 
Frag3 global config: 
Max frags: 65536 
Fragnent nenory cap: 4194394 bytes 
IPrag3 engine config: 
Target-based policy: FIRST 
Fragnent tineout: 69 seconds 
Fragnent min_ttl: 1 
Fragnent ttl_linit (not used): 5 
Fragnent Problens: 1 
strean5 global config 
Track ICP sessions: ACTIUE 
Max TCP sessions: 8192 
,lencap Cfor reassenbly packet storage): 8388608 














图 A-52 snort 的 IDS 模式 


载 入 snort. conf 配置 文件 后 ,Snort 将 会 应 用 设置 在 snort. conf 中 的 规则 去 判断 每 
个 数据 包 及 其 性 质 。 

6. 插件 

实际 上 ,采用 命令 行 形式 使 用 Snort 虽然 占用 资源 少 ,运行 快 , 但 是 需要 记忆 大 量 命令 ， 
所 以 目前 有 第 三 方 组 织 或 者 个 人 为 Snort 编写 了 各 种 图 形 类 插件 ,能 够 更 加 方便 地 运行 和 
获取 结果 。 


【思考 题 】 
(1) 如 果 将 Snort 安装 在 交换 环境 中 , 它 如 何 获 取 网 络 数据 包 ? 


(2) 请 在 Internet 上 查找 有 关 Snort 的 插件 ,并 和 叙述 Snort 常用 的 插件 有 哪些 ,分 别 有 
何 作用 ? 
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A8 信息 系统 安全 保护 等 级 定 级 
【实验 目的 、 环 境 和 背景 知识 】 


1. 实验 目的 


了 解 我国 关 于 信息 系统 安全 等 级 保护 的 相关 国家 标准 ,掌握 根据 国家 标准 GB/T 22240- 
2008《 信 息 系 统 安全 等 级 保护 定 级 指南 ) 对 信息 系统 的 安全 等 级 进行 定 级 的 基本 方法 。 


2. 实验 环境 
主流 计算 机 , 连 入 Internet。 
3. 背景 知识 


2007 年 7 月 ,由 公安 部 、 国 家 保密 局 、 国 家 密码 管理 局 和 国务 院 信息 化 工作 办 公 室 联合 
发 布 了 (关于 开展 全 国 重要 信息 系统 安全 等 级 保护 定 级 工作 的 通知 文件, 要 求 对 我 国电 信 
部 门 .重要 的 事业 单位 .市 (地 ) 级 以 上 党 政 机 关 的 信息 系统 以 及 涉及 国家 秘密 的 信息 开展 重 
要 信息 系统 安全 等 级 保护 定 级 工作 。2008 年 ,为 了 进一步 指导 我 国信 息 系统 安全 等 级 保护 
工作 ,由 公安 部 起 草 、 中 华人 民 共 和 国 国 家 质量 监督 检验 检疫 总 局 和 中 国 国 家 标准 化 管理 委 
员 会 联合 发 布 了 国家 标准 GB/T 22240-2008《 信 息 系 统 安全 等 级 保护 定 级 指南 ) 和 GB/T 
22239-2008《 信 息 系统 安全 等 级 保护 基本 要 求 》。 

根据 (信息 系统 安全 等 级 保护 定 级 指南 ) 的 要 求 , 信 息 系统 的 安全 保护 等 级 分 为 五 级 ,其 
中 一 级 要 求 最 低 ,五 级 要 求 最 高 。 等 级 的 划分 依据 是 信息 系统 受到 破坏 后 对 相关 客体 所 造 
成 侵害 的 严重 程度 。 这 里 的 客体 分 为 三 类 : 公民 、 法 人 和 其 他 组 织 的 合法 权益 ; 社会 秩序 、 
公共 利益 ; 国家 安全 。 对 客体 的 侵害 程度 也 分 为 三 类 : 一 般 损害 、 严 重 损 害 和 特别 严重 
损害 。 


【实验 步骤 】 


1. 下 载 相关 文档 


GB/T 22240-2008《 信 息 系统 安全 等 级 保护 定 级 指南 ) 下 载 地 址 : 
http://www. atmb. net. cn/web/UploadFile/2010111010420474. pdf 
GB/T 22239-2008《 信 息 系统 安全 等 级 保护 基本 要 求 ) 下 载 地 址 : 
http://www. atmb. net. cn/web/UploadFile/20101110101017815. pdf 


2. 信息 系统 安全 等 级 的 确定 


某 省 政府 网 站 系统 ZFWZ, 用 于 发 布 政务 公开 信息 、 地 方 行政 法 规 和 管理 措施 、 领 导 讲 
话 、 政 府 办 事 流 程 . 新 闻 发 布 . 政 府 公告 .举报 投诉 、 省 内 经 济 形势 介绍 、 电 子 表单 下 载 等 信 
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息 ,服务 对 象 主要 是 省 内 企业 和 市 民 。 试 根据 GB/T 22240-2008《 信 息 系统 安全 等 级 保护 定 
级 指南 ) 确 定 该 信息 系统 的 安全 等 级 。 

信息 系统 安全 包括 业务 信息 安全 和 系统 服务 安全 ,与 之 相关 的 受 侵害 客体 和 对 客体 的 
侵害 程度 可 能 不 同 , 因 此 ,信息 系统 定 级 也 应 由 业务 信息 安全 和 系统 服务 安全 两 方面 确定 。 
具体 步骤 如 下 : 

(1) 确定 业务 信息 安全 受到 破坏 时 所 侵害 的 客体 以 及 对 客体 的 侵害 程度 。 

(2) 根据 标准 中 的 业务 信息 安全 保护 等 级 矩阵 表 确 定 业务 信息 安全 等 级 。 

(3) 确定 系统 服务 安全 受到 破坏 时 所 侵害 的 客体 以 及 对 客体 的 侵害 程度 。 

(4) 根据 标准 中 的 系统 服务 安全 保护 等 级 矩阵 表 确 定 系统 服务 安全 等 级 。 

(5) 根据 业务 信息 安全 保护 等 级 和 系统 服务 安全 保护 等 级 的 较 高 者 确定 信息 系统 安全 
等 级 。 


【思考 题 】 


(1) 根据 实验 中 所 确定 的 信息 系统 安全 等 级 ,从 GB/T 22239-2008《 信 息 系统 安全 等 级 
保护 基本 要 求 ) 中 了 解 该 等 级 的 具体 要 求 。 

(2) 对 相关 部 门 或 企 事业 单位 进行 调研 ,了 解 其 信息 系统 安全 等 级 保护 的 基本 状况 和 
具体 实施 中 的 实际 问题 。 
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